Vulnérabilité dans QEMU

Date de publication : 25/08/2020

Une vulnérabilité a été découverte dans QEMU, un logiciel libre de virtualisation. Elle peut permettre à un attaquant de provoquer un déni de service ou une exécution de code arbitraire.

CVE-2020-14364 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité de type “lecture-écriture hors-limites” a été découverte dans l’émulateur USB de QEMU. Elle est due à un traitement incorrect de paquets USB provenant d’un système invité. Un attaquant, ayant un accès sur le système invité, peut exploiter cette vulnérabilité afin de provoquer un déni de service ou une exécution de code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Déni de service

Exécution de code arbitraire

Criticité

Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

QEMU versions 4.0.0 à 4.2.1

QEMU versions 5.0.0 à 5.1.0

CVE

CVE-2020-14364

Solutions ou recommandations

Mise en place de correctifs de sécurité

Appliquer les correctifs proposés par l’éditeur

Solution de contournement

Aucune solution de contournement

Liens

Xen Security Advisory CVE-2020-14364 / XSA-335