Уязвимость BDU:2019-01871

Идентификатор: BDU:2019-01871.
Наименование уязвимости: Уязвимость функции load_device_tree эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю выполнять произвольный код.
Описание уязвимости: Уязвимость функции load_device_tree эмулятора аппаратного обеспечения QEMU связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | ПО виртуализации/ПО виртуального программно-аппаратного средства Фабрис Беллар QEMU 3.1.0 | Операционная система АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023 |
Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | ОС ОН «Стрелец» до 16012023 |
Дата выявления: 14.12.2018.
CVSS 2.0: AV:L/AC:H/Au:S/C:P/I:P/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению:
Использование рекомендаций:
Для QEMU:
https://bugzilla.redhat.com/show_bug.cgi?id=1693101
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
Для ОС ОН «Стрелец»:
Обновление программного обеспечения qemu до версии 1:2.8+dfsg.repack-6+deb9u16.osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2018-20815.
Прочая информация: —
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-20815.html?_ga=2.35693920.1309057320.1557725646-1618695258.1547637860
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://strelets.net/patchi-i-obnovleniya-bezopasnosti#16012023



