6월 12일에 QEMU의 보안 취약점
CVE-2017-9524에 대한 정보가 공개되었습니다. QEMU에 네트워크 블락 디바이스(NBD) 서버 지원으로 빌드를 하는
경우, 클라이언트의 nbd_negotiate () 함수와 통신이 이루어지기 전의 초기화 실패를 이용하여, 원격 공격자가
세그먼테이션 오류(Segmentation Fault) 또는 서버 크래시와 같은 서비스 거부(DoS)를 일으킬 수 있는 가능성이
있습니다.
<Debian>
데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.
데비안 9 Stretch (Stable)
: 현재 최신버전인 qemu 1:2.8+dfsg-6 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)
데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2
: qemu 1:2.1+dfsg-12+deb8u6 에서 보안 패치 완료 (fixed)
데비안 7 Wheezy
: qemu 1.1.2+dfsg-6+deb7u20 에서 보안 패치 완료 (fixed)
: qemu-kvm 1.1.2+dfsg-6+deb7u22 에서 보안 패치 완료 (fixed)
<Ubuntu>
우분투에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.
우분투 17.04
: 현재 최신버전인 qemu 1:2.8+dfsg-3ubuntu2.2 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)
우분투 16.10
: 현재 최신버전인 qemu 1:2.6.1+dfsg-0ubuntu5.5 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)
우분투 16.04 LTS / 리눅스민트 18-18.2
: 현재 최신버전인 qemu 1:2.5+dfsg-5ubuntu10.14 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)
우분투 14.04 LTS / 리눅스민트 17.3 / 하모니카 2.1
: 현재 최신버전인 qemu 2.0.0+dfsg-2ubuntu1.34 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)
우분투 12.04 LTS / 리눅스민트 13
: 지원종료
보안 패치가 발표된 데비안 사용자께서는 터미널에서 다음의 명령어를 통해 보안 업데이트를 하기 바랍니다.
$ sudo apt-get update && sudo apt-get -y dist-upgrade
*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.
<참고>
https://oss.sios.com/security/qemu-security-vulnerability-20170709
https://security-tracker.debian.org/tracker/CVE-2017-9524
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9524.html
--
출처: http://la-nube.tistory.com/186 [la Nube의 소소한 취미생활]