Vulnerabilidad en un árbol de directorios con directorios profundamente anidados en Hardlink (CVE-2011-3630)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
26/11/2019
Última modificación:
21/11/2024
Descripción
Hardlink versiones anteriores a 0.1.2, sufre de múltiples fallos de desbordamiento de búfer en la región stack de la memoria debido a la manera en que son procesados los árboles de directorios con directorios profundamente anidados. Un atacante remoto podría proveer un árbol de directorios especialmente diseñado y engañar al usuario local para consolidarlo, conllevando a un bloqueo del ejecutable de hardlink o una ejecución de código potencialmente arbitraria con los privilegios del usuario que ejecuta el ejecutable de hardlink.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:hardlink_project:hardlink:*:*:*:*:*:*:*:* | 0.1.2 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:6.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/cve-2011-3630
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=645516
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3630
- https://security-tracker.debian.org/tracker/CVE-2011-3630
- https://www.openwall.com/lists/oss-security/2011/10/20/6
- https://access.redhat.com/security/cve/cve-2011-3630
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=645516
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-3630
- https://security-tracker.debian.org/tracker/CVE-2011-3630
- https://www.openwall.com/lists/oss-security/2011/10/20/6