Fabrice Bellard QEMU ACPI PCI Hotplug Interface बफ़र ओवरफ़्लो

CVSS मेटा अस्थायी स्कोरवर्तमान एक्सप्लॉइट मूल्य (≈)CTI रुचि स्कोर
6.4$0-$5k0.00

सारांशजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Fabrice Bellard QEMU में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक ACPI PCI Hotplug Interface का। यह हेरफेर बफ़र ओवरफ़्लो उत्पन्न करता है। यह सुरक्षा कमजोरी CVE-2014-5388 के रूप में संदर्भित है। कोई शोषण उपलब्ध नहीं है. इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

विवरणजानकारी

एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, Fabrice Bellard QEMU में पाई गई है। प्रभावित किया गया है एक अज्ञात फ़ंक्शन घटक ACPI PCI Hotplug Interface का। यह हेरफेर बफ़र ओवरफ़्लो उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-119 प्राप्त होता है। कमजोरी प्रकाशित की गई थी 22/08/2014 द्वारा Gonglei के रूप में Mailinglist Post (oss-sec). यह सलाह seclists.org पर डाउनलोड के लिए साझा की गई है।

यह सुरक्षा कमजोरी CVE-2014-5388 के रूप में संदर्भित है। 22/08/2014 पर CVE आवंटित किया गया था. कोई टेक्निकल जानकारी उपलब्ध नहीं है. इस भेद्यता की लोकप्रियता औसत से कम है। कोई शोषण उपलब्ध नहीं है. इस समय एक्सप्लॉइट का मौजूदा मूल्य करीब USD $0-$5k माना जा रहा है।

0-day के रूप में अनुमानित भूमिगत कीमत लगभग $5k-$25k थी। वल्नरेबिलिटी स्कैनर Nessus ID 77795 वाला एक प्लगइन प्रदान करता है (Fedora 21 : qemu-2.1.1-1.fc21 (2014-10761)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे Fedora Local Security Checks परिवार में असाइन किया गया है। वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 195671 प्लगइन से कर सकता है (Ubuntu Security Notification for Qemu, Qemu-kvm Vulnerabilities (USN-2409-1)).

बगफिक्स डाउनलोड हेतु git.qemu.org पर उपलब्ध है। इस समस्या को ठीक करने के लिए पैच लगाने की सिफारिश की जाती है।

कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 69356), X-Force (95419), Vulnerability Center (SBV-47373) , Tenable (77795).

उत्पादजानकारी

प्रकार

विक्रेता

नाम

लाइसेंस

वेबसाइट

CPE 2.3जानकारी

CPE 2.2जानकारी

CVSSv4जानकारी

VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv3जानकारी

VulDB मेटा बेस स्कोर: 7.3
VulDB मेटा अस्थायी स्कोर: 6.4

VulDB मूल स्कोर: 7.3
VulDB अस्थायी स्कोर: 6.4
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍

CVSSv2जानकारी

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
सदिशजटिलताप्रमाणीकरणगोपनीयताअखंडताउपलब्धता
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
अनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍

NVD मूल स्कोर: 🔍

शोषणजानकारी

वर्ग: बफ़र ओवरफ़्लो
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

भौतिक: आंशिक रूप से
स्थानीय: हाँ
दूरस्थ: हाँ

उपलब्धता: 🔍
स्थिति: असिद्ध

EPSS Score: 🔍
EPSS Percentile: 🔍

मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍

0-Dayअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना
आजअनलॉक करनाअनलॉक करनाअनलॉक करनाअनलॉक करना

Nessus ID: 77795
Nessus नाम: Fedora 21 : qemu-2.1.1-1.fc21 (2014-10761)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍

OpenVAS ID: 841810
OpenVAS नाम: Ubuntu Update for qemu USN-2409-1
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍

Qualys ID: 🔍
Qualys नाम: 🔍

खतरे की खुफियाजानकारी

रुचि: 🔍
सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍

प्रतिव्यवस्थाजानकारी

सिफारिश: पैच
स्थिति: 🔍

0-दिवसीय समय: 🔍

पैच: fa365d7cd11185237471823a5a33d36765454e16

समयरेखाजानकारी

20/08/2014 🔍
22/08/2014 +2 दिन 🔍
22/08/2014 +0 दिन 🔍
25/08/2014 +3 दिन 🔍
15/11/2014 +82 दिन 🔍
15/11/2014 +0 दिन 🔍
02/12/2014 +17 दिन 🔍
11/02/2022 +2628 दिन 🔍

स्रोतजानकारी

विक्रेता: bellard.org

सलाह: USN-2409-1
शोधकर्ता: Gonglei
स्थिति: पुष्टि की गई
पुष्टि: 🔍

CVE: CVE-2014-5388 (🔍)
GCVE (CVE): GCVE-0-2014-5388
GCVE (VulDB): GCVE-100-67403

OVAL: 🔍

X-Force: 95419 - QEMU ACPI PCI code execution, High Risk
SecurityFocus: 69356 - QEMU 'pcihp.c' Out of Bounds Memory Corruption Vulnerability
Vulnerability Center: 47373 - QEMU Local Host Privilege Vulnerability due to Memory Corruption, Medium

यह भी देखें: 🔍

प्रविष्टिजानकारी

बनाया गया: 25/08/2014 10:13 AM
अद्यतनित: 11/02/2022 03:06 AM
परिवर्तन: 25/08/2014 10:13 AM (70), 13/06/2017 08:42 AM (6), 11/02/2022 02:58 AM (5), 11/02/2022 03:06 AM (1)
पूर्ण: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

चर्चा

अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.

टिप्पणी करने के लिए कृपया लॉगिन करें

Want to stay up to date on a daily basis?

Enable the mail alert feature now!