Vulnerabilidad en dhcpd en modo DHCPv6 en las bibliotecas ISC BIND (CVE-2019-6470)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/11/2019
Última modificación:
11/04/2025
Descripción
Se había presentado en una de las bibliotecas ISC BIND un error en una función que fue usada por dhcpd cuando operaba en modo DHCPv6. También hubo un error en dhcpd relacionado con el uso de esta función según su documentación, pero el error en la función library impide que esto causara algún daño. Todas las versiones de dhcpd de ISC contienen copias de esta y otras bibliotecas BIND en combinaciones que han sido probadas antes de su lanzamiento y se sabe que no presentan problemas como este. Algunos empaquetadores de terceros del software ISC de terceros han modificado la fuente dhcpd, la fuente BIND o la comparación de versiones de manera que crean el potencial bloqueo. Según los reportes disponibles para ISC, la probabilidad de bloqueo es grande y no ha sido realizado ningún análisis sobre cómo, o inclusive si, la probabilidad puede ser manipulada por parte un atacante. Afecta: Compilaciones de versiones de dhcpd anteriores a la versión 4.4.1 cuando se usan las versiones BIND 9.11.2 o posteriores, o versiones BIND con correcciones de bugs específicas que respaldaron. ISC no tiene acceso a listas completas de versiones para todos los reempaques de dhcpd que son vulnerables. En particular, las compilaciones de otros proveedores también pueden estar afectadas. Es recomendado que los operadores consulten la documentación de su proveedor.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:isc:dhcpd:*:*:*:*:*:*:*:* | 4.4.1 (excluyendo) | |
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_eus:8.1:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_eus:8.2:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_eus:8.4:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_eus:8.6:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_eus:8.8:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64:8.0:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:8.1_aarch64:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:8.2_aarch64:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:8.4_aarch64:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:8.6_aarch64:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_arm_64_eus:8.8_aarch64:*:*:*:*:*:*:* | ||
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:7.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/errata/RHSA-2019:2060
- https://access.redhat.com/errata/RHSA-2019:3525
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=896122
- https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00048.html
- https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00049.html
- https://access.redhat.com/errata/RHSA-2019:2060
- https://access.redhat.com/errata/RHSA-2019:3525
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=896122
- https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00048.html
- https://lists.opensuse.org/opensuse-security-announce/2019-10/msg00049.html