ГлавнаяБаза уязвимостей БДУ → BDU:2020-01462
5высокая

BDU:2020-01462 (CVE-2019-20175)

Уязвимость функции ide_dma_cb() эмуляции аппаратного обеспечения различных платформ QEMU, связанная с недостаточной проверкой необычных или исключительных состояний, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2020-04-14
Описание

Уязвимость функции ide_dma_cb() эмуляции аппаратного обеспечения различных платформ QEMU связана с сбой процесса в хост-системе через специальный SCSI_IOCTL_SEND_COMMAND, которое подразумевает, что размер успешных передач DMA должен быть кратным 512 (равен размеру сектора). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)QEMU (от 2.4.0 до 4.2.0 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)
Способ устранения

Использование рекомендаций:
Для QEMU:
Обновление программного обеспечения до 1:4.2-3 или более поздней версии

Для Debian GNU/Linux:
Обновление программного обеспечения (пакета qemu ) до 1:3.1+dfsg-8+deb10u4 или более поздней версии

Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://lists.nongnu.org/archive/html/qemu-devel/2019-07/msg01651.htmlhttps://lists.nongnu.org/archive/html/qemu-devel/2019-11/msg02165.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-20175https://security-tracker.debian.org/tracker/CVE-2019-20175https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://wiki.astralinux.ru/pages/viewpage.action?pageId=71829652&src=sidebarhttps://www.mail-archive.com/qemu-devel@nongnu.org/msg667396.html
Проверьте безопасность своего сайта и почты → Полная проверка домена