Vulnerabilidad en libffi (CVE-2017-1000376)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
19/06/2017
Última modificación:
20/04/2025
Descripción
libffi solicita una pila ejecutable que permite que los atacantes desencadenen con más facilidad la ejecución de código arbitrario sobrescribiendo la pila. Se debe tener en cuenta que libffi es empleado por otras bibliotecas. Antes se dijo que esto afecta a la versión 3.2.1 de libffi, pero parece ser incorrecto. libffi en versiones anteriores a la 3.1 en sistemas x86 de 32 bits era vulnerable y se cree que upstream ha solucionado este problema en la versión 3.1.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Puntuación base 2.0
6.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:enterprise_virtualization_server:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openshift:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libffi_project:libffi:*:*:*:*:*:*:*:* | 3.2 (excluyendo) | |
| cpe:2.3:a:oracle:peopletools:8.56:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:peopletools:8.57:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.debian.org/security/2017/dsa-3889
- https://access.redhat.com/security/cve/CVE-2017-1000376
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt
- http://www.debian.org/security/2017/dsa-3889
- https://access.redhat.com/security/cve/CVE-2017-1000376
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt