BDU:2022-00753: Уязвимость реализации функции virtio_net_receive_rcu (hw/net/virtio-net.c) эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости Уязвимость реализации функции virtio_net_receive_rcu (hw/net/virtio-net.c) эмулятора аппаратного обеспечения QEMU связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код или вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., ООО «Ред Софт», ООО «РусБИТех-Астра», Фабрис Беллар, АО "НППКТ"
Наименование ПО Debian GNU/Linux, Red Hat Enterprise Linux, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), QEMU, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 9.0 (Debian GNU/Linux)
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • 6.0.0 (QEMU)
  • 6.0.1 (QEMU)
  • 6.1.0 (QEMU)
  • 4.7 (Astra Linux Special Edition)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 27.08.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для QEMU:
https://lists.nongnu.org/archive/html/qemu-devel/2021-09/msg00388.html

Для Ред Ос:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-emulyatora-apparatnogo-obespecheniya-qemu-cve-2021-3930-cve-2021-3930/?sphrase_id=5983

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-3748

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-3748

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОСОН Основа:
Обновление программного обеспечения qemu до версии 1:6.2+dfsg-3onyx0
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
  • CVE: CVE-2021-3748
Прочая информация Данные уточняются
Последние изменения