Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2019-13164

Опубликовано: 28 июн. 2019
Источник: redhat
CVSS3: 2.5
EPSS Низкий

Описание

qemu-bridge-helper.c in QEMU 3.1 and 4.0.0 does not ensure that a network interface name (obtained from bridge.conf or a --br=bridge option) is limited to the IFNAMSIZ size, which can lead to an ACL bypass.

Отчет

Red Hat Virtualization Hypervisor is not affected by this vulnerability, as its bridge configuration can not take the required form.

Меры по смягчению последствий

This flaw can only be exploited if /etc/qemu*/bridge.conf contains a line containing allow all or at least one line with a bridge name of at least 15 characters.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 6qemu-kvmNot affected
Red Hat Enterprise Linux 7qemu-kvmFix deferred
Red Hat Enterprise Linux 7qemu-kvm-maFix deferred
Red Hat Enterprise Linux 7qemu-kvm-rhevFix deferred
Red Hat Enterprise Linux 8virt:rhel/qemu-kvmFix deferred
Red Hat Enterprise Linux 8 Advanced Virtualizationvirt:8.0.0/qemu-kvmFix deferred
Red Hat OpenStack Platform 10 (Newton)qemu-kvm-rhevFix deferred
Red Hat OpenStack Platform 13 (Queens)qemu-kvm-rhevFix deferred
Red Hat OpenStack Platform 14 (Rocky)qemu-kvm-rhevOut of support scope
Red Hat OpenStack Platform 9 (Mitaka)qemu-kvm-rhevFix deferred

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Low
Дефект:
CWE-284
https://bugzilla.redhat.com/show_bug.cgi?id=1722559Qemu: qemu-bridge-helper ACL can be bypassed when names are too long

EPSS

Процентиль: 5%
0.00021
Низкий

2.5 Low

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2019-13164

CVSS3: 7.8
ubuntu
больше 6 лет назад

qemu-bridge-helper.c in QEMU 3.1 and 4.0.0 does not ensure that a network interface name (obtained from bridge.conf or a --br=bridge option) is limited to the IFNAMSIZ size, which can lead to an ACL bypass.

nvd логотип

CVE-2019-13164

CVSS3: 7.8
nvd
больше 6 лет назад

qemu-bridge-helper.c in QEMU 3.1 and 4.0.0 does not ensure that a network interface name (obtained from bridge.conf or a --br=bridge option) is limited to the IFNAMSIZ size, which can lead to an ACL bypass.

debian логотип

CVE-2019-13164

CVSS3: 7.8
debian
больше 6 лет назад

qemu-bridge-helper.c in QEMU 3.1 and 4.0.0 does not ensure that a netw ...

github логотип

GHSA-5ff7-wj9x-5xc5

CVSS3: 7.8
github
больше 3 лет назад

qemu-bridge-helper.c in QEMU 4.0.0 does not ensure that a network interface name (obtained from bridge.conf or a --br=bridge option) is limited to the IFNAMSIZ size, which can lead to an ACL bypass.

fstec логотип

BDU:2021-05168

CVSS3: 7.8
fstec
больше 6 лет назад

Уязвимость функции qemu-bridge-helper.c эмулятора аппаратного обеспечения QEMU, связанная с недостатках элементов безопасности, позволяющая нарушителю получить несанкционированный доступ к информации, вызвать отказ в обслуживании или оказать воздействие на доступность информации

EPSS

Процентиль: 5%
0.00021
Низкий

2.5 Low

CVSS3