Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-05685

Опубликовано: 13 янв. 2021
Источник: fstec
CVSS3: 8.2
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость демона virtio-fs эмулятора аппаратного обеспечения QEMU связана с небезопасным управлением привилегиями. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании с помощью специально созданного файла

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Фабрис Беллар
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Astra Linux Special Edition
QEMU
ОСОН ОСнова Оnyx

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
1.7 (Astra Linux Special Edition)
от 5.0.0 до 5.2.50 включительно (QEMU)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Для QEMU:
использование рекомендаций производителя: https://github.com/qemu/qemu/commit/ebf101955ce8f8d72fba103b5151115a4335de2c
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-35517
Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа:
Обновление программного обеспечения qemu до версии 1:6.2+dfsg-3onyx0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00027
Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-35517

CVSS3: 8.2
ubuntu
больше 4 лет назад

A flaw was found in qemu. A host privilege escalation issue was found in the virtio-fs shared file system daemon where a privileged guest user is able to create a device special file in the shared directory and use it to r/w access host devices.

redhat логотип

CVE-2020-35517

CVSS3: 7.5
redhat
больше 4 лет назад

A flaw was found in qemu. A host privilege escalation issue was found in the virtio-fs shared file system daemon where a privileged guest user is able to create a device special file in the shared directory and use it to r/w access host devices.

nvd логотип

CVE-2020-35517

CVSS3: 8.2
nvd
больше 4 лет назад

A flaw was found in qemu. A host privilege escalation issue was found in the virtio-fs shared file system daemon where a privileged guest user is able to create a device special file in the shared directory and use it to r/w access host devices.

debian логотип

CVE-2020-35517

CVSS3: 8.2
debian
больше 4 лет назад

A flaw was found in qemu. A host privilege escalation issue was found ...

rocky логотип

RLSA-2021:0711

rocky
больше 4 лет назад

Important: virt:rhel and virt-devel:rhel security update

EPSS

Процентиль: 6%
0.00027
Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2