关键信息 1. 漏洞编号: - CVE-2024-8354 2. 发布日期: - 2024年8月31日 3. 最近修改日期: - 2024年9月19日 4. 严重性: - 低 5. 描述: - 在QEMU中发现了一个错误。在尝试从USB设备获取USB端点时, 函数中的断言失败。这个错误可能会让恶意的非特权用户崩溃QEMU进程并导致服务中断。 6. 声明: - 这个CVE被评为低风险,因为非特权用户无法构造USB请求块(URBs)。虽然他们可能能够触发 中的断言,但漏洞被认为在正常情况下不太可能被利用。 7. 额外信息: - Bugzilla编号: 2313497 - CWE编号: 617 - FAQ: 关于CVE-2024-8354的常见问题解答 8. 受影响的包和Red Hat安全补丁: - Red Hat Enterprise Linux 6 - Red Hat Enterprise Linux 7 - Red Hat Enterprise Linux 8 - Red Hat Enterprise Linux 9 - virt:rhel/qemu-kvm - virt:av/qemu-kvm - qemu-kvm - qemu-kvm-ma 9. CVSS v3评分: - CVSS v3 Base Score: 4.7 - CVSS v3 Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H 10. 致谢: - 感谢Antoine "Gravis" Assier de Pompignan和Patrick Ventuzelo报告此问题。 11. 常见问题: - 为什么Red Hat的CVSS v3评分或影响与其他供应商不同? - 如果我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? - 如果我的产品被列为“不会修复”,我该怎么办? - 如果我的产品被列为“修复推迟”,我该怎么办? - 什么是缓解措施? - 我有一个Red Hat产品,但它不在上述列表中,它是否受影响? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? - 我的产品被列为“超出支持范围”。这意味着什么? 12. 免责声明: - 该页面由系统自动生成,未进行错误或遗漏的检查。 - 有关澄清或更正,请联系Red Hat产品安全团队。 13. 版权: - CVE描述版权 © 2021