BDU:2024-03304

АО "НППКТ", ООО «Ред Софт», Red Hat Inc., АО «ИВК», Fabrice Bellard, АО «НТЦ ИТ РОСА», ООО «РусБИТех Red Hat Enterprise Linux, АЛЬТ СП 10, QEMU, Astra Linux Special Edition, ОСОН ОСнова Оnyx, ROSA Virt

НЕ ОЦЕНЕНО

Дата обнаружения

2024-04-09

Официальное описание

Уязвимость эмулятора аппаратного обеспечения QEMU связана с ошибкой повторного освобождения памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путём выполнения повторного входа DMA

🛡️

Технический анализ и план устранения

🇷🇺 Рекомендация ФСТЭК

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры: - минимизация пользовательских привилегий; - отключение/удаление неиспользуемых учётных записей пользователей.

Использование рекомендаций производителя: Для QEMU: https://patchew.org/QEMU/20240409105537.18308-1-philmd@linaro.org/ https://gitlab.com/qemu-project/qemu/-/commit/f4729ec39ad97a42ceaa7b5697f84f440ea6e5dc https://gitlab.com/qemu-project/qemu/-/commit/b4295bff25f7b50de1d9cc94a9c6effd40056bca https://gitlab.com/qemu-project/qemu/-/commit/ba28e0ff4d95b56dc334aac2730ab3651ffc3132 https://gitlab.com/qemu-project/qemu/-/commit/4f01537ced3e787bd985b8f8de5869b92657160a https://gitlab.com/qemu-project/qemu/-/commit/fbeb0a160cbcc067c0e1f0d380cea4a31de213e3 https://gitlab.com/qemu-project/qemu/-/commit/1b2a52712b249e14d246cd9c7db126088e6e64db

Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/CVE-2024-3446 https://bugzilla.redhat.com/show_bug.cgi?id=2274211

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux: обновить пакет qemu до 1:7.2+dfsg-7.astra.se19 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-1108SE17MD

Обновление программного обеспечения qemu до версии 1:7.2+dfsg-7+deb12u7osnova2u1

Для ОС Astra Linux: обновить пакет qemu до 1:7.2+dfsg-8.astra.se23 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2814

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей