ГлавнаяБаза уязвимостей БДУ → BDU:2020-01447
10критическая

BDU:2020-01447 (CVE-2020-7039)

Уязвимость функции tcp_emu программного обеспечения для эмуляции аппаратного обеспечения различных платформ QEMU, связанная с записью за границами буфера памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-04-14
Описание

Уязвимость функции tcp_emu программного обеспечения для эмуляции аппаратного обеспечения различных платформ QEMU связана с ошибкой управления памятью. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (8)Ubuntu (19.10)Red Hat Enterprise Linux (7.7 EUS)QEMU (до 4.2.0)ОСОН ОСнова Оnyx (до 2.5)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для QEMU:
https://gitlab.freedesktop.org/slirp/libslirp/commit/2655fffed7a9e765bcb4701dd876e9dab975f289

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-7039

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-04/msg00007.html

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7039

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2020:0348
https://access.redhat.com/errata/RHSA-2020:1360
https://access.redhat.com/errata/RHSA-2020:1358
https://access.redhat.com/errata/RHSA-2020:0775
https://access.redhat.com/errata/RHSA-2020:1150
https://access.redhat.com/errata/RHSA-2020:1351

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения libslirp до версии 4.6.1-1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения qemu до версии 1:2.8+dfsg.repack-6+deb9u16.osnova1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-7039https://security-tracker.debian.org/tracker/CVE-2020-7039https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011https://www.suse.com/security/cve/CVE-2020-7039https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-7039https://gitlab.freedesktop.org/slirp/libslirp/commit/2655fffed7a9e765bcb4701dd876e9dab975f289https://access.redhat.com/errata/RHSA-2020:0348https://access.redhat.com/errata/RHSA-2020:1360
Проверьте безопасность своего сайта и почты → Полная проверка домена