Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función mdt_file_secctx_unpack en name_size en el módulo mdt en el sistema de archivos de Luster (CVE-2019-20432)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
27/01/2020
Última modificación:
28/01/2020

Descripción

En el sistema de archivos de Luster versiones anteriores versiones hasta 2.12.3, el módulo mdt presenta un acceso fuera de límites y un pánico debido a la falta de comprobación para campos de paquetes específicos enviados mediante un cliente. La función mdt_file_secctx_unpack no comprueba el valor de name_size derivado de req_capsule_get_size.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:lustre:lustre:*:*:*:*:*:*:*:* 2.12.3 (excluyendo)