Vulnerabilidad en netback de Linux (CVE-2023-34319)
Severidad:
ALTA
Type:
CWE-787
Escritura fuera de límites
Fecha de publicación:
22/09/2023
Última modificación:
26/06/2024
Descripción
La solución para XSA-423 agregó lógica al controlador netback de Linux para lidiar con una interfaz que divide un paquete de tal manera que no todos los encabezados vengan en una sola pieza. Desafortunadamente, la lógica introducida allí no tuvo en cuenta el caso extremo de que todo el paquete se divida en tantas partes como lo permita el protocolo, pero aún así sea más pequeño que el área que se trata especialmente para mantener todos los (posibles) encabezados juntos. Por lo tanto, un paquete tan inusual provocaría un Desbordamiento del Búfer en el controlador.
Impacto
Puntuación base 3.x
7.80
Severidad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:xen:xen:*:*:*:*:*:*:x86:* | 3.2.0 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.9.336 (incluyendo) | 4.10 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.14.302 (incluyendo) | 4.14.321 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.19.269 (incluyendo) | 4.19.290 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.4.227 (incluyendo) | 5.4.252 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.10.159 (incluyendo) | 5.10.189 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.15.83 (incluyendo) | 5.15.125 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.1.13 (incluyendo) | 6.1.44 (excluyendo) |
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 6.2 (incluyendo) | 6.4.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página