QEMUの仮想CD-ROMドライブで脆弱性が発見されされた(Qemu-develメーリングリスト、Phoronix、Xen — XSA-138、Debian — CVE-2015-5154)。 公表された脆弱性は、特定のATAPIコマンドの処理に問題があり、ヒープオーバーフローが発生するというもの。この脆弱性を悪用すると、ゲストシステムの特権ユーザーがQEMUのプロセスと同じ権限で、任意のコードをホストシステム上で実行可能になる。 Xenの場合、仮想CD-ROMドライブを使用する構成でスタブドメインを使用しないx86のHVMゲストが影響を受ける。また、QEMUデバイスモデルの「qemu-xen-traditional」および「qemu-xen」を使用しているシステムも影響を受ける可能性があるという。DebianではJessie以降のリリースが影響を受けるとしている。 QEMUでは5月に仮想