Vulnérabilité dans Qemu
Date de publication :
Une vulnérabilité a été découverte dans Qemu, logiciel de virtualisation et d’émulation. Un attaquant distant exploitant cette vulnérabilité peut causer une situation de déni de service via le plantage de la machine émulée.
CVE-2020-1983 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans libslirp, une bibliothèque d’émulation TCP/IP utilisée par Qemu. Un attaquant distant exploitant cette vulnérabilité peut causer le plantage de la machine émulée (déni de service) via l’envoi de paquets réseau spécialement conçus.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Une preuve de concept est disponible dans le billet de bogue à l’origine de la vulnérabilité: https://gitlab.freedesktop.org/slirp/libslirp/-/issues/20
Composants vulnérables
- Versions de Qemu utilisant libslirp jusqu’à sa version 4.2.0 (incluse)
CVE
- CVE-2020-1983
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Qemu vers une version utilisant une version non-vulnérable de libslirp (> 4.2.0)
Solution de contournement
Aucune solution de contournement n’est disponible