Vulnerabilidad en la rutina dnc_copy_in en HCC Embedded NicheStack IPv4 (CVE-2020-25767)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-125 Lectura fuera de límites

Fecha de publicación:

18/08/2021

Última modificación:

26/08/2021

Descripción

Se ha detectado un problema en HCC Embedded NicheStack IPv4 versión 4.1. La rutina dnc_copy_in para analizar los nombres de dominio DNS no comprueba si un puntero de compresión de nombre de dominio está apuntando dentro de los límites del paquete (por ejemplo, los saltos de puntero de compresión hacia adelante están permitidos), lo que conlleva a una Lectura Fuera de Límites, y una Denegación de Servicio como consecuencia.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico