QEMU bis 1:4.1-1 LSI SCSI Adapter Emulator lsi_execute_script Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
In QEMU (Virtualization Software) wurde eine problematische Schwachstelle entdeckt. Es geht um die Funktion lsi_execute_script der Komponente LSI SCSI Adapter Emulator. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-835. Auswirkungen hat dies auf die Verfügbarkeit. Die Zusammenfassung von CVE lautet:
In QEMU 1:4.1-1, 1:2.1+dfsg-12+deb8u6, 1:2.8+dfsg-6+deb9u8, 1:3.1+dfsg-8~deb10u1, 1:3.1+dfsg-8+deb10u2, and 1:2.1+dfsg-12+deb8u12 (fixed), when executing script in lsi_execute_script(), the LSI scsi adapter emulator advances 's->dsp' index to read next opcode. This can lead to an infinite loop if the next opcode is empty. Move the existing loop exit after 10k iterations so that it covers no-op opcodes as well.Die Schwachstelle wurde am 24.09.2019 (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter lists.debian.org. Die Verwundbarkeit wird seit dem 13.05.2019 als CVE-2019-12068 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 27.12.2023). Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1499 aus.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Produkt
Typ
Name
Version
- 1:2.1+dfsg-12+deb8u6
- 1:2.1+dfsg-12+deb8u12
- 1:2.8+dfsg-6+deb9u8
- 1:3.1+dfsg-8+deb10u2
- 1:3.1+dfsg-8~deb10u1
- 1:4.1-1
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.6VulDB Meta Temp Score: 4.6
VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 3.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-835 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Patch: de594e47659029316bbf9391efb79da0a1a08e08
Timeline
13.05.2019 🔍24.09.2019 🔍
25.09.2019 🔍
27.12.2023 🔍
Quellen
Produkt: qemu.orgAdvisory: USN-4191-1
Status: Nicht definiert
CVE: CVE-2019-12068 (🔍)
Eintrag
Erstellt: 25.09.2019 07:20Aktualisierung: 27.12.2023 14:59
Anpassungen: 25.09.2019 07:20 (37), 06.09.2020 14:47 (18), 27.12.2023 14:59 (5)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.