Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Desbordamiento de búfer en Point-to-Point Protocol Daemon

Fecha de publicación 06/03/2020
Importancia
5 - Crítica
Recursos Afectados

Demonio pppd (Point to Point Protocol Daemon), desde la versión 2.4.2, hasta la 2.4.8.

Descripción

El investigador Ilja Van Sprundel, de IOActive, ha detectado una vulnerabilidad de severidad crítica que afecta al demonio pppd. Un atacante remoto, no autenticado, podría realizar un desbordamiento de búfer y, de este modo, ejecutar código arbitrario en el sistema.

Solución

Aplicar el último parche disponible de pppd en función de las configuraciones que se dispongan en este. Para obtener más información, consultar el apartado Referencias.

Detalle

Debido a un fallo en el procesado de paquetes de Extensible Authentication Protocol (EAP) en el demonio pppd, un atacante remoto, no autenticado, podría realizar un desbordamiento de búfer que podría permitirle ejecutar código arbitrario en el sistema. Se ha asignado el identificador CVE-2020-8597 para esta vulnerabilidad.

Encuesta valoración