Уязвимость BDU:2018-00091

Уязвимость BDU:2018-00091

Идентификатор: BDU:2018-00091.

Наименование уязвимости: Уязвимость функции post_load (hw/input/ps2.c) эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю выполнить чтение за границами буфера в динамической памяти.

Описание уязвимости: Уязвимость функции post_load (hw/input/ps2.c) эмулятора аппаратного обеспечения QEMU связана с некорректной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить чтение за границами буфера в динамической памяти
Уязвимое ПО: ПО виртуализации/ПО виртуального программно-аппаратного средства Фабрис Беллар QEMU – | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» |

Наименование ОС и тип аппаратной платформы: Linux 64-bit | Linux 32-bit | Mac OS X 32-bit | Windows 64-bit | Windows 32-bit | Unix 64-bit | Unix 32-bit | Mac OS X 64-bit | Astra Linux Special Edition 16 «Смоленск» |
Дата выявления: 15.11.2017.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению:
Использование рекомендаций:
https://lists.gnu.org/archive/html/qemu-devel/2017-11/msg02982.html

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет qemu до 1:2.8+dfsg-6+deb9u5astra.se0 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=44892734.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-16845. BID ID:101923.
Прочая информация:
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.securityfocus.com/bid/101923
https://lists.gnu.org/archive/html/qemu-devel/2017-11/msg02982.html
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: