ГлавнаяБаза уязвимостей БДУ → BDU:2023-04956
10критическая

BDU:2023-04956 (CVE-2022-36648)

Уязвимость модуля of_dpa_cmd_add_l2_floo эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю вызвать отказ в обслуживании и выполнить произвольный код
Опубликовано: 2023-08-29
Описание

Уязвимость модуля of_dpa_cmd_add_l2_floo эмулятора аппаратного обеспечения QEMU связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании и выполнить произвольный код

Затрагиваемое ПО и версии
Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP2-LTSS)Suse Linux Enterprise Server (12 SP3-LTSS)Suse Linux Enterprise Server (12 SP3-BCL)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (12 SP3-ESPOS)Suse Linux Enterprise Desktop (12 SP2)Suse Linux Enterprise Server (12 SP2)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (12 SP4-ESPOS)Suse Linux Enterprise Server (12 SP4-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Suse Linux Enterprise Server (15 SP3)
Способ устранения

Использование рекомендаций:

Для QEMU:
https://lists.nongnu.org/archive/html/qemu-devel/2022-06/msg04469.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-36648

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-36648.html

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.nongnu.org/archive/html/qemu-devel/2022-06/msg04469.htmlhttps://www.suse.com/security/cve/CVE-2022-36648.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-36648https://vuldb.com/ru/?id.237695https://altsp.su/obnovleniya-bezopasnosti/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Проверьте безопасность своего сайта и почты → Полная проверка домена