Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08773

Опубликовано: 30 авг. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции usb_ep_get() (hw/net/core.c) эмулятора аппаратного обеспечения QEMU связана с недостатком использования функции assert(). Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Fabrice Bellard
Сообщество свободного программного обеспечения
Novell Inc.

Наименование ПО

Red Hat Enterprise Linux
QEMU
Debian GNU/Linux
SUSE Linux Enterprise Module for Confidential Computing Technical Preview

Версия ПО

8 (Red Hat Enterprise Linux)
- (QEMU)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8 Advanced Virtualization (Red Hat Enterprise Linux)
9 (Red Hat Enterprise Linux)
15 SP6 (SUSE Linux Enterprise Module for Confidential Computing Technical Preview)

Тип ПО

Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
Red Hat Inc. Red Hat Enterprise Linux 8 Advanced Virtualization
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для QEMU:
https://gitlab.com/qemu-project/qemu/-/commit/6af69d02706c821797802cfd56acdac13a7c9422
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей.
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-8354
Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8354
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-8354.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00005
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-8354

CVSS3: 5.5
ubuntu
11 месяцев назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

redhat логотип

CVE-2024-8354

CVSS3: 5.5
redhat
12 месяцев назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

nvd логотип

CVE-2024-8354

CVSS3: 5.5
nvd
11 месяцев назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

debian логотип

CVE-2024-8354

CVSS3: 5.5
debian
11 месяцев назад

A flaw was found in QEMU. An assertion failure was present in the usb_ ...

github логотип

GHSA-xx3p-5m4j-rhw8

CVSS3: 4.7
github
11 месяцев назад

A flaw was found in QEMU. An assertion failure was present in the usb_ep_get() function in hw/net/core.c when trying to get the USB endpoint from a USB device. This flaw may allow a malicious unprivileged guest user to crash the QEMU process on the host and cause a denial of service condition.

EPSS

Процентиль: 0%
0.00005
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2