Vulnerabilidad en ElasticSearch plugin (CVE-2013-4758)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-399
Error en la gestión de recursos
Fecha de publicación:
04/10/2013
Última modificación:
11/04/2025
Descripción
Vulnerabilidad de doble liberación en la función writeDataError en el plugin Elasticsearch (omelasticsearch) en rsyslog anterior a 7.4.2 y anterior a 7.5.2 devel, cuando un errorfile se establece en el registro de log local, permite a atacantes remotos provocar una denegación de servicio (caída) y posiblemente ejecutar código arbitrario a través de una respuesta JSON diseñada.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rsyslog:rsyslog:*:*:*:*:*:*:*:* | 7.4.1 (incluyendo) | |
| cpe:2.3:a:rsyslog:rsyslog:*:devel:*:*:*:*:*:* | 7.5.1 (incluyendo) | |
| cpe:2.3:a:rsyslog:rsyslog:6.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:6.5.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:6.6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:rsyslog:rsyslog:7.1.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2013/07/05/2
- http://www.rsyslog.com/rsyslog-7-4-2-v7-stable-released/
- http://www.rsyslog.com/rsyslog-7-5-2-v7-devel-released/
- http://www.openwall.com/lists/oss-security/2013/07/05/2
- http://www.rsyslog.com/rsyslog-7-4-2-v7-stable-released/
- http://www.rsyslog.com/rsyslog-7-5-2-v7-devel-released/