Vulnerabilidad en Eclipse Mosquitto (CVE-2017-7652)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/04/2018
Última modificación:
09/10/2019
Descripción
En Eclipse Mosquitto, si se establece una instancia de Mosquitto ejecutándose con un archivo de configuración, el envío de una señal HUP al servidor provoca que la configuración se recargue desde el disco. Si hay muchos clientes conectados de tal forma que ya no queden más descriptores de archivos/sockets disponibles (el límite normal por defecto suele ser de 1024 descriptores de archivos en Linux), no se podrá abrir el archivo de configuración.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
6.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eclipse:mosquitto:*:*:*:*:*:*:*:* | 1.0 (incluyendo) | 1.4.14 (incluyendo) |
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.eclipse.org/bugs/show_bug.cgi?id=530102
- https://lists.debian.org/debian-lts-announce/2018/03/msg00037.html
- https://lists.debian.org/debian-lts-announce/2018/06/msg00016.html
- https://mosquitto.org/blog/2018/02/security-advisory-cve-2017-7651-cve-2017-7652/
- https://www.debian.org/security/2018/dsa-4325