Debian dsa-5983 : qemu-block-extra - セキュリティ更新
medium Nessus プラグイン ID 254417
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートの Debian 12 / 13 ホストには、dsa-5983 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。- -------------------------------------------------- -------------------------- Debian セキュリティアドバイザリ DSA-5983-1 [email protected] https://www.debian.org/security/Moritz Muehlenhoff 2025 年 8 月 22 日 https://www.debian.org/security/faq
- -------------------------------------------------------------------------
パッケージqemu CVE ID CVE-2025-54566 CVE-2025-54567
この更新では、qemu-user パッケージ内の binfmt_misc 登録での C 認証情報フラグの使用を削除します。これは、qemu-user で suid/sgid バイナリを実行する際に、権限昇格が可能になるからです。
これは、suid/sgid の外部アーキテクチャバイナリが qemu-user のもとで昇格された権限で実行されないことを意味します。過去に qemu-user のこの動作に依存していた場合suid/sgid Foreign-arch バイナリを実行、デプロイメントに変更が必要になります。
Bookbird では、影響を受けるパッケージは、qemu-user ではなく、qemu-user-staticおよび qemu-user-binfmtです。
さらに、QEMU システムエミュレーションの SR-IOV サポートにおいて 2 つのセキュリティ問題が修正されました。
旧安定版oldstableディストリビューションbookword では、これらの問題はバージョン 1:7.2+dfsg-7+deb12u15 で修正されました。
安定版stableディストリビューションtrixieでは、これらの問題はバージョン 1:10.0.2+ds-2+deb13u1 で修正されています。
お使いの qemu パッケージのアップグレードをお勧めします。
qemuの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/qemu
Debian セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://www.debian.org/security/
メーリングリスト: [email protected]
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
qemu-block-extra パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/qemu
https://security-tracker.debian.org/tracker/CVE-2025-54566
https://security-tracker.debian.org/tracker/CVE-2025-54567
プラグインの詳細
深刻度: Medium
ID: 254417
ファイル名: debian_DSA-5983.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2025/8/25
更新日: 2025/8/25
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.3
CVSS v2
リスクファクター: Low
基本値: 3.2
現状値: 2.4
ベクトル: CVSS2#AV:A/AC:H/Au:N/C:N/I:P/A:P
CVSS スコアのソース: CVE-2025-54567
CVSS v3
リスクファクター: Medium
基本値: 4.2
現状値: 3.7
ベクトル: CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:qemu-utils, p-cpe:/a:debian:debian_linux:qemu-system-x86, p-cpe:/a:debian:debian_linux:qemu-block-extra, p-cpe:/a:debian:debian_linux:qemu-system-s390x, p-cpe:/a:debian:debian_linux:qemu-system-xen, p-cpe:/a:debian:debian_linux:qemu-system-gui, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:debian:debian_linux:qemu-system-data, p-cpe:/a:debian:debian_linux:qemu-user, p-cpe:/a:debian:debian_linux:qemu-system-modules-opengl, p-cpe:/a:debian:debian_linux:qemu-system-common, p-cpe:/a:debian:debian_linux:qemu-system-misc, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:qemu-system-riscv, p-cpe:/a:debian:debian_linux:qemu-system-mips, p-cpe:/a:debian:debian_linux:qemu-user-binfmt, p-cpe:/a:debian:debian_linux:qemu-system-modules-spice, p-cpe:/a:debian:debian_linux:qemu-user-static, p-cpe:/a:debian:debian_linux:qemu-guest-agent, p-cpe:/a:debian:debian_linux:qemu-system-sparc, p-cpe:/a:debian:debian_linux:qemu-system-arm, p-cpe:/a:debian:debian_linux:qemu-system, p-cpe:/a:debian:debian_linux:qemu-system-ppc
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/8/22
脆弱性公開日: 2025/7/25
参照情報
CVE: CVE-2025-54566, CVE-2025-54567