inflate_buffer() 中的无限循环导致拒绝服务 (CVE-2023-3255)

admin

0
文章

0
评论

2023-11-29 23:05:23 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 inflate_buffer() 中的无限循环导致拒绝服务 (CVE-2023-3255)

CVE编号

CVE-2023-3255

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-06-14

漏洞描述

A flaw was found in the QEMU built-in VNC server while processing ClientCutText messages. A wrong exit condition may lead to an infinite loop when inflating an attacker controlled zlib buffer in the `inflate_buffer` function. This could allow a remote authenticated client who is able to send a clipboard to the VNC server to trigger a denial of service.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://access.redhat.com/security/cve/CVE-2023-3255
https://bugzilla.redhat.com/show_bug.cgi?id=2218486
https://security.netapp.com/advisory/ntap-20231020-0008/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	qemu	qemu	*		Up to (including) 8.0.3
	运行在以下环境
	系统	anolis_os_23	noslate-anode-docs	*		Up to (excluding) 7.2.6-1
	运行在以下环境
	系统	anolis_os_8	nodejs	*		Up to (excluding) 18.17.1-1.0.2
	运行在以下环境
	系统	debian_10	qemu	*		Up to (excluding) 3.1+dfsg-8+deb10u8
	运行在以下环境
	系统	debian_11	qemu	*		Up to (excluding) 5.2+dfsg-11+deb11u3
	运行在以下环境
	系统	debian_12	qemu	*		Up to (excluding) 1:7.2+dfsg-7+deb12u2
	运行在以下环境
	系统	debian_sid	qemu	*		Up to (excluding) 1:8.0.4+dfsg-1
	运行在以下环境
	系统	fedoraproject	fedora	38	-
	运行在以下环境
	系统	fedora_37	v8-9.4-devel-9.4.146.26-1.16.20.2.1.fc37.i686.rpm (	*		Up to (excluding) 16.20.2-1.fc37
	运行在以下环境
	系统	fedora_38	nodejs16-npm-8.19.4-1.16.20.2.1.fc38.s390x.rpm (	*		Up to (excluding) 7.2.5-1.fc38
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 7.2.0-5.module+el8.8.0+21147+1292344f
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 18.17.1-1.module+el9.2.0+21169+1d24b6cc
	运行在以下环境
	系统	redhat	enterprise_linux	8.0	-
	运行在以下环境
	系统	redhat	enterprise_linux	9.0	-
	运行在以下环境
	系统	redhat_9	nodejs-full-i18n	*		Up to (excluding) 16.20.2-1.el9_2