Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función qemuDomainGetStatsIOThread en la API libDirt de virDomainListGetStats en el comando domstats en libvirt (CVE-2020-12430)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/04/2020
Última modificación:
01/04/2024

Descripción

Se descubrió un problema en la función qemuDomainGetStatsIOThread en el archivo qemu/qemu_driver.c en libvirt versiones 4.10.0 hasta 6.x anteriores a 6.1.0. Se encontró una pérdida de memoria en la API libDirt de virDomainListGetStats que es responsable de recuperar las estadísticas del dominio al administrar invitados de QEMU. Este fallo permite a los usuarios no privilegiados con una conexión de solo lectura causar una pérdida de memoria en el comando domstats, resultando en una posible denegación de servicio.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:libvirt:*:*:*:*:*:*:*:* 4.10.0 (incluyendo) 6.1.0 (excluyendo)
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:advanced_virtualization:*:*:*