ГлавнаяБаза уязвимостей БДУ → BDU:2023-07853
5.9средняя

BDU:2023-07853 (CVE-2023-5088)

Уязвимость функции ide_dma_cb() эмулятора аппаратного обеспечения QEMU, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании
Опубликовано: 2023-11-15
Описание

Уязвимость функции ide_dma_cb() эмулятора аппаратного обеспечения QEMU связана с ошибками синхронизации при обработке параметра DRQ_STAT. Эксплуатация уязвимости может позволить нарушителю получить доступ на чтение, изменение или удаление данных или вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (8 Advanced Virtualization)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)QEMU (до 8.1.2 включительно)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Использование рекомендаций:
Для QEMU:
https://lore.kernel.org/qemu-devel/20231106110336.358-48-philmd@linaro.org/
https://lore.kernel.org/qemu-devel/20231106110336.358-49-philmd@linaro.org/

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-5088

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет qemu до 1:7.2+dfsg-7.astra.se8 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет qemu до 1:7.2+dfsg-7.astra.se18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Обновление программного обеспечения qemu до версии 1:7.2+dfsg-7+deb12u7osnova2u1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2814

Оценка CVSS
Балл5.9 — средняя опасность
Источники и патчи
https://lists.nongnu.org/archive/html/qemu-devel/2023-09/msg01011.htmlhttps://access.redhat.com/security/cve/CVE-2023-5088https://bugzilla.redhat.com/show_bug.cgi?id=2247283https://lore.kernel.org/all/20230921160712.99521-1-simon.rowe@nutanix.com/T/https://bugzilla.redhat.com/show_bug.cgi?id=2247283https://security.snyk.io/vuln/SNYK-UNMANAGED-QEMUPROJECTQEMU-6042530https://vuldb.com/ru/?id.244155https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена