6월 12일에 QEMU의 보안 취약점 CVE-2017-9524에 대한 정보가 공개되었습니다. QEMU에 네트워크 블락 디바이스(NBD) 서버 지원으로 빌드를 하는 경우, 클라이언트의 nbd_negotiate () 함수와 통신이 이루어지기 전의 초기화 실패를 이용하여, 원격 공격자가 세그먼테이션 오류(Segmentation Fault) 또는 서버 크래시와 같은 서비스 거부(DoS)를 일으킬 수 있는 가능성이 있습니다.

<Debian>

데비안에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.

데비안 9 Stretch (Stable)
 : 현재 최신버전인 qemu 1:2.8+dfsg-6 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (vulnerable)

데비안 8 Jessie (OldStable) / 리눅스민트데비안에디션(LMDE) 2
 : qemu 1:2.1+dfsg-12+deb8u6 에서 보안 패치 완료 (fixed)

데비안 7 Wheezy
 : qemu 1.1.2+dfsg-6+deb7u20 에서 보안 패치 완료 (fixed)

 : qemu-kvm 1.1.2+dfsg-6+deb7u22 에서 보안 패치 완료 (fixed)

<Ubuntu>

우분투에서는 위 보안 취약점과 관련하여 다음과 같이 발표하였습니다.

우분투 17.04
 : 현재 최신버전인 qemu 1:2.8+dfsg-3ubuntu2.2 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)

우분투 16.10
 : 현재 최신버전인 qemu 1:2.6.1+dfsg-0ubuntu5.5 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)

우분투 16.04 LTS / 리눅스민트 18-18.2
 : 현재 최신버전인 qemu 1:2.5+dfsg-5ubuntu10.14 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)

우분투 14.04 LTS / 리눅스민트 17.3 / 하모니카 2.1
 : 현재 최신버전인 qemu 2.0.0+dfsg-2ubuntu1.34 에서 위 보안 취약점이 존재하나, 아직 보안 패치가 없음 (needed)

우분투 12.04 LTS / 리눅스민트 13
 : 지원종료

보안 패치가 발표된 데비안 사용자께서는 터미널에서 다음의 명령어를 통해 보안 업데이트를 하기 바랍니다.
$ sudo apt-get update && sudo apt-get -y dist-upgrade

*위 정보는 우분투 12.04 ESM(Extended Security Maintenance)을 포함하지 않습니다.
*위 정보는 작성자가 주로 사용하는 리눅스 배포판에 대해서만 작성하였습니다. 그 외의 배포판은 알아서 하셔야 합니다.


<참고>
https://oss.sios.com/security/qemu-security-vulnerability-20170709
https://security-tracker.debian.org/tracker/CVE-2017-9524
https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-9524.html

--

출처: http://la-nube.tistory.com/186 [la Nube의 소소한 취미생활]