Linux Distros 未修补的漏洞:CVE-2019-19579
medium Nessus 插件 ID 250507
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- 在 Xen 至 4.12.x 中发现一个问题允许攻击者在不受信任的域拥有物理设备的访问权限并且未使用 assignable-add的情况下通过 DMA 获取主机操作系统权限原因是对 CVE-2019-18424的修复不完整。XSA-302 依赖使用 libxl 的 assignable-add 功能来准备要分配给不受信任的客户机的设备。遗憾的是,这并未被视为设备分配严格必需的步骤。wiki 上的 PCI 透传文档介绍了准备设备进行分配的备用方法libvirt 也会使用自己的方法。设备从客户机恢复后使用这些替代方法的主机仍将使系统处于易受攻击的状态。具有物理设备访问权限的不受信任的域可 DMA 进入主机内存从而导致权限升级。仅向客户机提供对能够执行 DMAPCI 传递的物理设备的直接访问权限的系统才容易受到攻击。不使用 PCI pass-through 的系统不易受影响。 (CVE-2019-19579)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 250507
文件名: unpatched_CVE_2019_19579.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/18
最近更新时间: 2025/8/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 5.3
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2019-19579
CVSS v3
风险因素: Medium
基本分数: 6.8
时间分数: 5.9
矢量: CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:xen, cpe:/o:canonical:ubuntu_linux:18.04:-:lts
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2019/11/7
参考资料信息
CVE: CVE-2019-19579