Vulnerabilidad en la implementación offline cgroup en el kernel Linux (CVE-2016-9191)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
28/11/2016
Última modificación:
12/04/2025
Descripción
La implementación offline cgroup en el kernel Linux hasta la versión 4.8.11 maneja incorrectamente ciertas operaciones drain, lo que permite a usuarios locales provocar una denegación de servicio (colgado de sistema) aprovechando el acceso al contenedor de ambiente para ejecutar una aplicación manipulada, como es demostrado por trinity.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 4.8.11 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=93362fa47fe98b62e4a34ab408c4a418432e7939
- http://www.debian.org/security/2017/dsa-3791
- http://www.openwall.com/lists/oss-security/2016/11/05/4
- http://www.securityfocus.com/bid/94129
- https://bugzilla.redhat.com/show_bug.cgi?id=1392439
- https://github.com/torvalds/linux/commit/93362fa47fe98b62e4a34ab408c4a418432e7939
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03802en_us
- http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=93362fa47fe98b62e4a34ab408c4a418432e7939
- http://www.debian.org/security/2017/dsa-3791
- http://www.openwall.com/lists/oss-security/2016/11/05/4
- http://www.securityfocus.com/bid/94129
- https://bugzilla.redhat.com/show_bug.cgi?id=1392439
- https://github.com/torvalds/linux/commit/93362fa47fe98b62e4a34ab408c4a418432e7939
- https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbhf03802en_us