Vulnerabilidad en la emulación de instrucciones en el hipervisor de KVM (CVE-2020-2732)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
08/04/2020
Última modificación:
10/06/2020
Descripción
Se detectó un fallo en la manera en que el hipervisor de KVM manejó la emulación de instrucciones para un invitado L2 cuando la virtualización anidada está habilitada. En algunas circunstancias, un invitado L2 puede engañar al invitado L0 para que acceda a recursos L1 confidenciales que deberían estar inaccesibles para el invitado L2.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.30
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1805135
- https://git.kernel.org/linus/07721feee46b4b248402133228235318199b05ec
- https://git.kernel.org/linus/35a571346a94fb93b5b3b6a599675ef3384bc75c
- https://git.kernel.org/linus/e71237d3ff1abf9f3388337cfebf53b96df2020d
- https://linux.oracle.com/errata/ELSA-2020-5540.html
- https://linux.oracle.com/errata/ELSA-2020-5542.html
- https://linux.oracle.com/errata/ELSA-2020-5543.html
- https://lists.debian.org/debian-lts-announce/2020/06/msg00011.html
- https://lists.debian.org/debian-lts-announce/2020/06/msg00012.html
- https://lists.debian.org/debian-lts-announce/2020/06/msg00013.html
- https://www.debian.org/security/2020/dsa-4667
- https://www.debian.org/security/2020/dsa-4698
- https://www.openwall.com/lists/oss-security/2020/02/25/3
- https://www.spinics.net/lists/kvm/msg208259.html