Vulnerabilidad en el archivo der_decode_utf8_string.c en la función der_decode_utf8_string en LibTomCrypt. (CVE-2019-17362)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
09/10/2019
Última modificación:
14/12/2023
Descripción
En LibTomCrypt versiones hasta 1.18.2, la función der_decode_utf8_string (en el archivo der_decode_utf8_string.c) no detecta apropiadamente determinadas secuencias UTF-8 no válidas. Esto permite a atacantes dependiendo del contexto causar una denegación de servicio (lectura y bloqueo fuera de límites) o leer información desde otras ubicaciones de memoria por medio de datos codificados con DER cuidadosamente diseñados.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:libtom:libtomcrypt:*:*:*:*:*:*:*:* | 1.18.2 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00020.html
- http://lists.opensuse.org/opensuse-security-announce/2019-11/msg00041.html
- https://github.com/libtom/libtomcrypt/issues/507
- https://github.com/libtom/libtomcrypt/pull/508
- https://lists.debian.org/debian-lts-announce/2019/10/msg00010.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/47YP5SXQ4RY6KMTK2HI5ZZR244XKRMCZ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YU5OMCY3PX54YVI4FMNDEENHDJZJ3RJW/
- https://vuldb.com/?id_142995=