Vulnerabilidad en Das U-Boot (CVE-2019-13104)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-191
Subdesbordamiento de entero
Fecha de publicación:
06/08/2019
Última modificación:
18/04/2022
Descripción
En Das U-Boot versiones 2016.11-rc1 hasta 2019.07-rc4, un subdesbordamiento puede hacer que la función memcpy() sobrescriba una gran cantidad de datos (incluyendo toda la pila) mientras lee un sistema de archivos ext4 diseñado.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:denx:u-boot:*:*:*:*:*:*:*:* | 2016.09 (incluyendo) | 2019.04 (incluyendo) |
| cpe:2.3:a:denx:u-boot:2019.07:-:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2019.07:rc4:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00002.html
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00004.html
- https://gist.github.com/deephooloovoo/d91b81a1674b4750e662dfae93804d75
- https://github.com/u-boot/u-boot/commits/master
- https://lists.denx.de/pipermail/u-boot/2019-July/375514.html