? 误差编号和级别

CVE编号：CVE-2019-14378，，，，危险级别：高危，，，，CVSS分值：8.8

? 影响版本

libslirp是一款用于在虚拟机治理程序中治理虚拟网络效劳的通用TCP-IP模拟器。。。。。。

libslirp 4.0.0版本中的ip_input.c文件的‘ip_reass’函数保存缓冲区过失误差。。。。。。该误差源于网络系统或产品在内存上执行操作时，，，，未准确验证数据界线，，，，导致向关联的其他内存位置上执行了过失的读写操作。。。。。。

攻击者可以使用此误差使主机上的QEMU历程瓦解，，，，从而导致拒绝效劳或可能以QEMU历程的权限执行恣意代码，，，，QEMU被以为是VMware的免费替换品，，，，可用于几个主要的Linux刊行版，，，，它被Xen，，，，VirtualBox和KVM使用。。。。。。

EXP视频：https://blog.bi0s.in/2019/08/24/Pwn/VM-Escape/2019-07-29-qemu-vm-escape-cve-2019-14378/。。。。。。

现在厂商已宣布升级补丁以修复误差，，，，补丁获取链接：https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04acbabd7ad32c2b018fe10dfac2a3bc1210。。。。。。

以下厂商划分发了通告或者补�。。。。。。�

RedHat: https://access.redhat.com/security/cve/cve-2019-14378

SUSE: https://www.suse.com/support/update/announcement/2019/suse-su-201914151-1/

Fedora:ttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UPLHB2AN663OXAWUQURF7J2X5LHD4VD3/

Debian: https://security-tracker.debian.org/tracker/CVE-2019-14378

Ubuntu: https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14378.html

https://www.securityweek.com/code-execution-flaw-qemu-mostly-impacts-development-test-vms

400-624-3900

官方微信

官方微博

执法声明