Уязвимость BDU:2019-01871

Уязвимость BDU:2019-01871

Идентификатор: BDU:2019-01871.

Наименование уязвимости: Уязвимость функции load_device_tree эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю выполнять произвольный код.

Описание уязвимости: Уязвимость функции load_device_tree эмулятора аппаратного обеспечения QEMU связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | ПО виртуализации/ПО виртуального программно-аппаратного средства Фабрис Беллар QEMU 3.1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |

Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 14.12.2018.
CVSS 2.0: AV:L/AC:H/Au:S/C:P/I:P/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению:
Использование рекомендаций:
Для QEMU:

https://bugzilla.redhat.com/show_bug.cgi?id=1693101

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186

Для ОС ОН «Стрелец»:
Обновление программного обеспечения qemu до версии 1:2.8+dfsg.repack-6+deb9u16.osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-20815.
Прочая информация:
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-20815.html?_ga=2.35693920.1309057320.1557725646-1618695258.1547637860
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: