Vulnerabilidad en vbf_stp_error en Varnish HTTP Cache (CVE-2017-8807)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
16/11/2017
Última modificación:
20/04/2025
Descripción
vbf_stp_error en bin/varnishd/cache/cache_fetch.c en Varnish HTTP Cache en versiones 4.1.x anteriores a la 4.1.9 y las versiones 5.x anteriores a la 5.2.1 permite que atacantes remotos obtengan información sensible de la memoria de procesos debido a que un búfer VFP_GetStorage es más grande de lo planeado en ciertas circunstancias relacionadas con objetos transitorios -sfile Stevedore.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:varnish-cache:varnish:*:*:*:*:*:*:*:* | 4.1.0 (incluyendo) | 4.1.9 (excluyendo) |
| cpe:2.3:a:varnish_cache_project:varnish_cache:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.2.1 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://varnish-cache.org/security/VSV00002.html
- http://www.securityfocus.com/bid/101886
- https://bugs.debian.org/881808
- https://github.com/varnishcache/varnish-cache/commit/176f8a075a963ffbfa56f1c460c15f6a1a6af5a7
- https://github.com/varnishcache/varnish-cache/pull/2429
- https://www.debian.org/security/2017/dsa-4034
- http://varnish-cache.org/security/VSV00002.html
- http://www.securityfocus.com/bid/101886
- https://bugs.debian.org/881808
- https://github.com/varnishcache/varnish-cache/commit/176f8a075a963ffbfa56f1c460c15f6a1a6af5a7
- https://github.com/varnishcache/varnish-cache/pull/2429
- https://www.debian.org/security/2017/dsa-4034