Vulnerabilidad en un servicio de imágenes miniaturas en stdout en GNOME Dia (CVE-2019-19451)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/11/2019
Última modificación:
07/11/2023
Descripción
Cuando GNOME Dia antes del 27-11-2019 es iniciado con un argumento de nombre de archivo que no es una posición de código válida en la codificación actual, ingresa en un bucle sin fin, por lo que escribe texto de forma indefinida en stdout. Si este inicio proviene de un servicio de imágenes miniaturas, esta salida generalmente se escribirá en el disco mediante la capacidad de registro del sistema (potencialmente con privilegios elevados), llenando así el disco y eventualmente renderizando el sistema inutilizable. (El nombre de archivo puede ser para un archivo inexistente). Nota: Esto no afecta a una versión anterior, pero afecta ciertos paquetes de distribución de Linux con números de versión tales como 0.97.3.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnome:dia:*:*:*:*:*:*:*:* | 2019-11-27 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00019.html
- https://gitlab.gnome.org/GNOME/dia/issues/428
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KTGLGWHINMTDRFL7RZAJZJM5YSVXUXWW/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PKLQU2XBM4BGRKOF3L4C5QCPBUNTKEUN/