Amazon Linux AMI:qemu-kvm (ALAS-2020-1400)
medium Nessus Plugin ID 138642
語系:
概要
The remote Amazon Linux AMI host is missing a security update.說明
在 QEMU 4.1.0中所使用的 libslirp 4.2.0 中,tcp_subr.c 會誤用 snprintf 傳回值,進而在之後的程式碼中導致緩衝區溢位。(CVE-2020-8608)
libslirp 4.1.0 中 tcp_subr.c 的 tcp_emu (用於 QEMU 4.2.0) 未能正確管理記憶體,EMU_IRC 中的 IRC DCC 命令即為一例。
此問題可能造成堆積型緩衝區溢位或其他越界存取,進而導致 DoS 或可能執行任意程式碼。
(CVE-2020-7039)
在 QEMU 3.0.0 中,slirp/tcp_subr.c (即 slirp/src/tcp_subr.c) 中的 tcp_emu 在snprintf 呼叫中使用未初始化的資料,從而導致信息洩漏。(CVE-2019-9824)
解決方案
Run 'yum update qemu-kvm' to update your system.另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 138642
檔案名稱: ala_ALAS-2020-1400.nasl
版本: 1.3
類型: local
代理程式: unix
已發布: 2020/7/20
已更新: 2024/2/29
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2020-8608
CVSS v3
風險因素: Medium
基本分數: 5.6
時間分數: 4.9
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:qemu-img, p-cpe:/a:amazon:linux:qemu-kvm, p-cpe:/a:amazon:linux:qemu-kvm-common, p-cpe:/a:amazon:linux:qemu-kvm-debuginfo, p-cpe:/a:amazon:linux:qemu-kvm-tools, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2020/7/15
弱點發布日期: 2019/6/3
參考資訊
CVE: CVE-2019-9824, CVE-2020-7039, CVE-2020-8608
ALAS: 2020-1400