Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el sistema de archivos Gluster (CVE-2018-14652)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-120 Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico)
Fecha de publicación:
31/10/2018
Última modificación:
12/02/2023

Descripción

El sistema de archivos Gluster hasta las versiones 3.12 y 4.1.4 es vulnerable a un desbordamiento de búfer en el traductor "features/index" mediante el código que maneja el xattr "GF_XATTR_CLRLK_CMD" en la función "pl_getxattr". Un atacante autenticado remoto podría explotar esta vulnerabilidad en un volumen montado para provocar una denegación de servicio (DoS).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:gluster_storage:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.1.2 (incluyendo)
cpe:2.3:a:redhat:gluster_storage:*:*:*:*:*:*:*:* 4.1.0 (incluyendo) 4.1.8 (incluyendo)
cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:enterprise_virtualization_host:4.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:6.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_virtualization:4.0:*:*:*:*:*:*:*