Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08773

Опубликовано: 30 авг. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции usb_ep_get() (hw/net/core.c) эмулятора аппаратного обеспечения QEMU связана с недостатком использования функции assert(). Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Fabrice Bellard
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО «НТЦ ИТ РОСА»
ООО «РусБИТех-Астра»
Novell Inc.

Наименование ПО

Red Hat Enterprise Linux
QEMU
Debian GNU/Linux
РЕД ОС
РОСА ХРОМ
Astra Linux Special Edition
SUSE Linux Enterprise Module for Confidential Computing Technical Preview

Версия ПО

8 (Red Hat Enterprise Linux)
- (QEMU)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
8 Advanced Virtualization (Red Hat Enterprise Linux)
9 (Red Hat Enterprise Linux)
12.4 (РОСА ХРОМ)
1.8 (Astra Linux Special Edition)
15 SP6 (SUSE Linux Enterprise Module for Confidential Computing Technical Preview)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 8 Advanced Virtualization
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для QEMU:
https://gitlab.com/qemu-project/qemu/-/commit/6af69d02706c821797802cfd56acdac13a7c9422
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-8354
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8354
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-8354.html
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-qemu-cve-2024-8354/?sphrase_id=1338978
Для ОС Astra Linux:
обновить пакет qemu до 1:10.1.2+ds-3.astra.se05 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2026-3227

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 20%
0.00286
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20251105-12

CVSS3: 5.5
redos
8 месяцев назад

Уязвимость qemu

ubuntu логотип

CVE-2024-8354

CVSS3: 5.5
ubuntu
почти 2 года назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

redhat логотип

CVE-2024-8354

CVSS3: 5.5
redhat
почти 2 года назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

nvd логотип

CVE-2024-8354

CVSS3: 5.5
nvd
почти 2 года назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

msrc логотип

CVE-2024-8354

CVSS3: 5.5
msrc
10 месяцев назад

Qemu-kvm: usb: assertion failure in usb_ep_get()

EPSS

Процентиль: 20%
0.00286
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2