Vulnerabilidad en el kernel de Linux (CVE-2017-18224)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)

Fecha de publicación:

12/03/2018

Última modificación:

03/05/2018

Descripción

En el kernel de Linux, en versiones anteriores a la 4.15, fs/ocfs2/aops.c omite el uso de un semáforo y, por consiguiente, tiene una condición de carrera al acceder al árbol extent durante las operaciones de lectura en modo DIRECT. Esto permite que usuarios locales provoquen una denegación de servicio (bug) modificando cierto campo e_cpos.

Impacto

Vector 3.x

CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.70 MEDIA
Vector: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

4.70

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:M/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 1.90 BAJA
Vector: AV:L/AC:M/Au:N/C:N/I:N/A:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico