ГлавнаяБаза уязвимостей БДУ → BDU:2024-03304
6.5высокая

BDU:2024-03304 (CVE-2024-3446)

Уязвимость эмулятора аппаратного обеспечения QEMU, связанная с ошибкой повторного освобождения памяти, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-26
Описание

Уязвимость эмулятора аппаратного обеспечения QEMU связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путём выполнения повторного входа DMA

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Red Hat Enterprise Linux (9)АЛЬТ СП 10QEMU (до 9.0.0-rc3)QEMU (до 8.2.3)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя:
Для QEMU:
https://patchew.org/QEMU/20240409105537.18308-1-philmd@linaro.org/
https://gitlab.com/qemu-project/qemu/-/commit/f4729ec39ad97a42ceaa7b5697f84f440ea6e5dc
https://gitlab.com/qemu-project/qemu/-/commit/b4295bff25f7b50de1d9cc94a9c6effd40056bca
https://gitlab.com/qemu-project/qemu/-/commit/ba28e0ff4d95b56dc334aac2730ab3651ffc3132
https://gitlab.com/qemu-project/qemu/-/commit/4f01537ced3e787bd985b8f8de5869b92657160a
https://gitlab.com/qemu-project/qemu/-/commit/fbeb0a160cbcc067c0e1f0d380cea4a31de213e3
https://gitlab.com/qemu-project/qemu/-/commit/1b2a52712b249e14d246cd9c7db126088e6e64db

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-3446
https://bugzilla.redhat.com/show_bug.cgi?id=2274211

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет qemu до 1:7.2+dfsg-7.astra.se19 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD

Обновление программного обеспечения qemu до версии 1:7.2+dfsg-7+deb12u7osnova2u1

Для ОС Astra Linux:
обновить пакет qemu до 1:7.2+dfsg-8.astra.se23 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2814

Оценка CVSS
Балл6.5 — высокая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=2274211https://patchew.org/QEMU/20240409105537.18308-1-philmd@linaro.org/https://gitlab.com/qemu-project/qemu/-/commit/f4729ec39ad97a42ceaa7b5697f84f440ea6e5dchttps://gitlab.com/qemu-project/qemu/-/commit/b4295bff25f7b50de1d9cc94a9c6effd40056bcahttps://gitlab.com/qemu-project/qemu/-/commit/ba28e0ff4d95b56dc334aac2730ab3651ffc3132https://gitlab.com/qemu-project/qemu/-/commit/4f01537ced3e787bd985b8f8de5869b92657160ahttps://gitlab.com/qemu-project/qemu/-/commit/fbeb0a160cbcc067c0e1f0d380cea4a31de213e3https://gitlab.com/qemu-project/qemu/-/commit/1b2a52712b249e14d246cd9c7db126088e6e64db
Проверьте безопасность своего сайта и почты → Полная проверка домена