阿里云漏洞库

中危 QEMU 安全漏洞(CVE-2023-0330)

CVE编号

CVE-2023-0330

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-01-16

漏洞描述

QEMU（Quick Emulator）是法国法布里斯-贝拉（Fabrice Bellard）个人开发者的一套模拟处理器软件。该软件具有速度快、跨平台等特点。

QEMU存在安全漏洞，该漏洞源于DMA重入问题，攻击者利用该漏洞会导致堆栈溢出。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/security/cve/CVE-2023-0330
https://bugzilla.redhat.com/show_bug.cgi?id=2160151
https://lists.debian.org/debian-lts-announce/2023/10/msg00006.html
https://lists.nongnu.org/archive/html/qemu-devel/2023-01/msg03411.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	qemu	qemu	7.2.0	-
	运行在以下环境
	系统	alpine_3.18	qemu	*		Up to (excluding) 8.0.0-r4
	运行在以下环境
	系统	alpine_3.19	qemu	*		Up to (excluding) 8.0.0-r6
	运行在以下环境
	系统	amazon_2	qemu	*		Up to (excluding) 3.1.0-8.amzn2.0.13
	运行在以下环境
	系统	debian_10	qemu	*		Up to (excluding) 3.1+dfsg-8+deb10u11
	运行在以下环境
	系统	debian_11	qemu	*		Up to (excluding) 5.2+dfsg-11+deb11u3
	运行在以下环境
	系统	debian_12	qemu	*		Up to (excluding) 7.2+dfsg-7+deb12u1
	运行在以下环境
	系统	opensuse_Leap_15.4	+	*		Up to (excluding) 6.2.0-150400.37.23.1
	运行在以下环境
	系统	opensuse_Leap_15.5	+	*		Up to (excluding) 7.1.0-150500.49.6.1
	运行在以下环境
	系统	oracle_7	qemu	*		Up to (excluding) 4.2.1-28.el7
	运行在以下环境
	系统	suse_12_SP5	qemu	*		Up to (excluding) 3.1.1.1-69.1
	运行在以下环境
	系统	ubuntu_20.04	qemu	*		Up to (excluding) 4.2-3ubuntu6.27
	运行在以下环境
	系统	ubuntu_22.04	qemu	*		Up to (excluding) 6.2+dfsg-2ubuntu6.11
	运行在以下环境
	系统	ubuntu_22.10	qemu	*		Up to (excluding) 7.0+dfsg-7ubuntu2.6

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-121	栈缓冲区溢出
CWE-787	跨界内存写