PT-2020-14584 · Project Acrn · Acrn Project
Publicado
2020-08-31
·
Atualizado
2020-09-08
·
CVE-2020-15687
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.6.1 a 2.0 do Projeto ACRN
Descrição
O problema está relacionado à ausência de restrições de controle de acesso no componente Hypervisor, permitindo que uma entidade maliciosa com acesso root no espaço do usuário da VM de serviço abuse das Hypercalls de atribuição/desatribuição de PCIe por meio de ioctls e cargas úteis manipuladas. Isso resulta em um estado corrompido e Negação de Serviço (DoS) para dispositivos PCIe previamente atribuídos à VM de serviço em tempo de execução.
Recomendações
Para as versões 1.6.1 a 2.0 do Projeto ACRN, considere restringir o acesso ao componente Hypervisor e às Hypercalls de atribuição/desatribuição de PCIe para evitar abusos. Como solução alternativa temporária, restrinja o uso de ioctls e cargas úteis criadas especificamente no espaço do usuário da VM de serviço para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Acrn Project