Vulnerabilidad en librería glibc (CVE-2023-6246)
Severidad:
ALTA
Type:
CWE-787
Escritura fuera de límites
Fecha de publicación:
31/01/2024
Última modificación:
16/02/2024
Descripción
Se encontró un desbordamiento de búfer en la región Heap de la memoria en la función __vsyslog_internal de la librería glibc. Esta función es llamada por las funciones syslog y vsyslog. Este problema ocurre cuando no se llamó a la función openlog, o se llamó con el argumento ident establecido en NULL, y el nombre del programa (el nombre base de argv[0]) tiene más de 1024 bytes, lo que provoca un bloqueo de la aplicación o una escalada de privilegios locales. Este problema afecta a glibc 2.36 y versiones posteriores.
Impacto
Puntuación base 3.x
7.80
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:gnu:glibc:*:*:*:*:*:*:*:* | 2.36 (incluyendo) | 2.39 (excluyendo) |
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/176931/glibc-qsort-Out-Of-Bounds-Read-Write.html
- http://packetstormsecurity.com/files/176932/glibc-syslog-Heap-Based-Buffer-Overflow.html
- http://seclists.org/fulldisclosure/2024/Feb/3
- http://seclists.org/fulldisclosure/2024/Feb/5
- https://access.redhat.com/security/cve/CVE-2023-6246
- https://bugzilla.redhat.com/show_bug.cgi?id=2249053
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/D2FIH77VHY3KCRROCXOT6L27WMZXSJ2G/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MWQ6BZJ6CV5UAW4VZSKJ6TO4KIW2KWAQ/
- https://security.gentoo.org/glsa/202402-01
- https://security.netapp.com/advisory/ntap-20240216-0007/
- https://www.openwall.com/lists/oss-security/2024/01/30/6
- https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt