ГлавнаяБаза уязвимостей БДУ → BDU:2024-06923
6.8высокая

BDU:2024-06923 (CVE-2024-4467)

Уязвимость команды info эмулятора аппаратного обеспечения QEMU, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-13
Описание

Уязвимость команды info эмулятора аппаратного обеспечения QEMU связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании с помощью специально созданного файла изображения

Затрагиваемое ПО и версии
Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)АЛЬТ СП 10QEMU (до 9.0.0)Astra Linux Special Edition (1.8)ROSA Virtualization 3.0 (3.0)ОСОН ОСнова Оnyx (до 2.12)
Способ устранения

Для QEMU:
использование рекомендаций производителя: https://gitlab.com/qemu-project/qemu/-/commit/2eb42a728d27a43fdcad5f37d3f65706ce6deba5
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2024-4467
Для ОС Astra Linux:
обновить пакет qemu до 1:7.2+dfsg-7.astra.se17 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для ОС Astra Linux Special Edition 1.8:
https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет qemu до 1:7.2+dfsg-7.astra.se18 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Обновление программного обеспечения qemu до версии 1:7.2+dfsg-7+deb12u7osnova2u1

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2814

Оценка CVSS
Балл6.8 — высокая опасность
Источники и патчи
https://gitlab.com/qemu-project/qemu/-/commit/2eb42a728d27a43fdcad5f37d3f65706ce6deba5https://gitlab.com/qemu-project/qemu/-/commit/7e1110664ecbc4826f3c978ccb06b6c1bce823e6https://gitlab.com/qemu-project/qemu/-/commit/7ead946998610657d38d1a505d5f25300d4ca613https://gitlab.com/qemu-project/qemu/-/commit/bd385a5298d7062668e804d73944d52aec9549f1https://nvd.nist.gov/vuln/detail/CVE-2024-4467https://security-tracker.debian.org/tracker/CVE-2024-4467https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17https://wiki.astralinux.ru/astra-linux-se18-bulletin-2024-0905SE18MD
Проверьте безопасность своего сайта и почты → Полная проверка домена