Vulnerabilidad en API evbuffer en Libevent (CVE-2014-6272)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-189
Errores numéricos
Fecha de publicación:
24/08/2015
Última modificación:
12/04/2025
Descripción
Vulnerabilidad de desbordamientos de entero múltiple en la API evbuffer en Libevent 1.4.x en versiones anteriores a 1.4.15, 2.0.x en versiones anteriores a 2.0.22 y 2.1.x en versiones anteriores a 2.1.5-beta, permite a atacantes dependientes del contexto causar una denegación de servicio o posiblemente tener otro impacto no especificado a través de 'entradas increíblemente grandes' en la función (1) evbuffer_add, (2) evbuffer_expand o (3) bufferevent_write, lo que desencadena un desbordamiento de buffer basado en memoria dinámica o un bucle infinito. NOTA: este identificador ha sido SEPARADO por ADT3 debido a diferentes versiones afectadas. Ver CVE-2015-6525 para las funciones que solo son afectadas en la versión 2.0 y anteriores.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:libevent_project:libevent:1.4.13:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.seul.org/libevent/users/Jan-2015/msg00010.html
- http://www.debian.org/security/2015/dsa-3119
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.366317
- https://puppet.com/security/cve/CVE-2014-6272
- http://archives.seul.org/libevent/users/Jan-2015/msg00010.html
- http://www.debian.org/security/2015/dsa-3119
- http://www.slackware.com/security/viewer.php?l=slackware-security&y=2016&m=slackware-security.366317
- https://puppet.com/security/cve/CVE-2014-6272