Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en las funciones ares_destroy() y ares_getaddrinfo() en c-ares lib (CVE-2020-14354)

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-415 Doble liberación
Fecha de publicación:
13/05/2021
Última modificación:
07/11/2023

Descripción

Un posible uso de la memoria previamente liberada y una doble liberación en c-ares lib versión 1.16.0, si la función ares_destroy() es llamado antes de completar la función ares_getaddrinfo(). Este fallo posiblemente permite a un atacante bloquear el servicio que usa c-ares lib. La mayor amenaza de esta vulnerabilidad es la disponibilidad de este servicio

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:c-ares:c-ares:1.16.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*