Vulnerabilidad en el archivo qemu/qemu_driver.c en un trabajo de monitoreo en una consulta a un agente invitado en libvirt (CVE-2019-20485)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
19/03/2020
Última modificación:
07/11/2023
Descripción
El archivo qemu/qemu_driver.c en libvirt versiones anteriores a 6.0.0, maneja inapropiadamente la conservación de un trabajo de monitoreo durante una consulta a un agente invitado, lo que permite a atacantes causar una denegación de servicio (bloqueo de la API).
Impacto
Puntuación base 3.x
5.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.70
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:libvirt:*:*:*:*:*:*:*:* | 6.0.0 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=953078
- https://bugzilla.redhat.com/show_bug.cgi?id=1809740
- https://libvirt.org/git/?p=libvirt.git%3Ba%3Dcommit%3Bh%3Da663a860819287e041c3de672aad1d8543098ecc
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/D5GE6ISYUL3CIWO3FQRUGMKTKP2NYED2/
- https://security-tracker.debian.org/tracker/CVE-2019-20485
- https://www.mail-archive.com/debian-bugs-dist%40lists.debian.org/msg1730509.html