PT-2021-5459 · Qemu+5 · Qemu+5

Mauro Matteo Cascella

·

Publicado

2021-05-10

·

Atualizado

2024-06-15

·

CVE-2021-3545

CVSS v3.1

6.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do QEMU até a 6.0, inclusive
Descrição
Existe uma vulnerabilidade de divulgação de informações no dispositivo GPU virtio vhost-user do QEMU, especificamente na função virgl cmd get capset info() no arquivo contrib/vhost-user-gpu/virgl.c. Essa vulnerabilidade pode permitir que um usuário mal-intencionado explore a falha e cause vazamento de memória do host devido à leitura de memória não inicializada.
Recomendações
Para versões do QEMU até a 6.0, inclusive, considere atualizar para uma versão que inclua uma correção para essa vulnerabilidade, pois a versão atual pode permitir acesso não autorizado a dados confidenciais.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Information Disclosure

Use of Uninitialized Resource

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-200CWE-908

Identificadores relacionados

ALT-PU-2021-2713
ALT-PU-2021-3078
ALT-PU-2021-3363
BDU:2021-06303
CVE-2021-3545
DSA-4980-1
OESA-2021-1227
OPENSUSE-SU-2021:1043-1
OPENSUSE-SU-2021:2213-1
OPENSUSE-SU-2021_1043-1
OPENSUSE-SU-2021_2213-1
OPENSUSE-SU-2024:11287-1
SUSE-SU-2021:2212-1
SUSE-SU-2021:2213-1
USN-5010-1
USN-5307-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Qemu
Suse
Ubuntu