Vulnerabilidad en los archivo drivers/block/ploop/dev.c y fs/quota/quota.c en las funciones ploop_getdevice_ioc o quompat_quotactl en la memoria de la pila del kernel en vzkernel en modificación de OpenVZ para el kernel de Linux (CVE-2013-2239)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
12/11/2013
Última modificación:
11/04/2025
Descripción
vzkernel anterior a versión 042stab080.2 en la modificación de OpenVZ para el kernel de Linux versión 2.6.32, no inicializa determinadas variables de longitud, lo que permite a usuarios locales obtener información confidencial de la memoria de la pila del kernel por medio de (1) una llamada ioctl del controlador ploop diseñada, relacionado con la función ploop_getdevice_ioc en el archivo drivers/block/ploop/dev.c, o (2) una llamada de sistema quotactl diseñada, relacionada con la función compat_quotactl en fs/quota/quota.c.
Impacto
Puntuación base 2.0
4.70
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:openvz:vzkernel:2.6.32:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://openwall.com/lists/oss-security/2013/07/04/9
- http://wiki.openvz.org/Download/kernel/rhel6-testing/042stab080.2
- http://www.debian.org/security/2013/dsa-2766
- https://bugs.gentoo.org/show_bug.cgi?id=475762
- https://security-tracker.debian.org/tracker/CVE-2013-2239
- http://openwall.com/lists/oss-security/2013/07/04/9
- http://wiki.openvz.org/Download/kernel/rhel6-testing/042stab080.2
- http://www.debian.org/security/2013/dsa-2766
- https://bugs.gentoo.org/show_bug.cgi?id=475762
- https://security-tracker.debian.org/tracker/CVE-2013-2239