JVNDB-2015-006774

QEMU の VNC WebSocket フレームデコーダにおけるサービス運用妨害 (DoS) の脆弱性

QEMU の VNC WebSocket フレームデコーダには、サービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる脆弱性が存在します。

Canonical

• Ubuntu  15.04
• Ubuntu  14.10
• Ubuntu  14.04 LTS
• Ubuntu  12.04 LTS

Debian

• Debian GNU/Linux 7.0
• Debian GNU/Linux 8.0

Fabrice Bellard

• QEMU

Fedora Project

• Fedora 21
• Fedora 22

Novell

• SUSE Linux Enterprise Desktop 12
• SUSE Linux Enterprise Desktop 11 SP3
• SUSE Linux Enterprise Server 12
• SUSE Linux Enterprise Server 11 SP3

レッドハット

• Red Hat Enterprise Linux Desktop (v. 7)
• Red Hat Enterprise Linux HPC Node (v. 7)
• Red Hat Enterprise Linux Server (v. 7)
• Red Hat Enterprise Linux Workstation (v. 7)

第三者により、過度に大きな (1) WebSocket ペイロード、または (2) HTTP ヘッダセクションを介して、サービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Canonical

• Ubuntu Security Notice : USN-2608-1

Debian

• Debian Security Advisory : DSA-3259

Fabrice Bellard

• Qemu-devel : [PATCH 0/2] CVE-2015-1779: fix denial of service in VNC websockets
• Qemu-devel : [PATCH 1/2] CVE-2015-1779: incrementally decode websocket frames
• Qemu-devel : [PATCH 2/2] CVE-2015-1779: limit size of HTTP headers from websockets clients

Fedora Project

• Fedora Update Notification : FEDORA-2015-5541
• Fedora Update Notification : FEDORA-2015-5482

Novell

• opensuse-security-announce : SUSE-SU-2015:0896
• opensuse-security-announce : SUSE-SU-2015:0870

レッドハット

• Red Hat Security Advisory : RHSA-2015:1943
• Red Hat Security Advisory : RHSA-2015:1931

1. リソースの枯渇(CWE-400) [NVD評価]

1. CVE-2015-1779

1. National Vulnerability Database (NVD) : CVE-2015-1779

• [2016年01月18日]
    掲載