Vulnerabilidad en consulta entrante en una conexión TCP en el servidor con pipelining habilitada (CVE-2019-6477)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

26/11/2019

Última modificación:

07/11/2023

Descripción

Con pipelining habilitada, cada consulta entrante en una conexión TCP requiere una asignación de recursos similar a una consulta recibida por medio de UDP o TCP sin pipelining habilitada. Un cliente que utiliza una conexión canalizada por TCP a un servidor podría consumir más recursos de los que el servidor ha sido provisionado para manejar. Cuando una conexión TCP con un gran número de consultas canalizadas se cierra, la carga en el servidor que libera estos múltiples recursos puede causar que no responda, inclusive para consultas que pueden ser respondidas con autoridad o desde la memoria caché. (Esto es muy probable que sea percibido como un problema de servidor intermitente).

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

5.00

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:isc:bind::::::::	9.11.7 (incluyendo)	9.11.12 (incluyendo)
cpe:2.3:a:isc:bind::::::::	9.14.1 (incluyendo)	9.14.7 (incluyendo)
cpe:2.3:a:isc:bind::::::::	9.15.0 (incluyendo)	9.15.5 (incluyendo)
cpe:2.3:a:isc:bind:9.11.5:s6:::supported_preview:::*
cpe:2.3:a:isc:bind:9.11.6:p1::::::
cpe:2.3:a:isc:bind:9.11.6:rc1::::::
cpe:2.3:a:isc:bind:9.11.12:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.12.4:p1::::::
cpe:2.3:a:isc:bind:9.12.4:p2::::::
cpe:2.3:o:fedoraproject:fedora:30:::::::*
cpe:2.3:o:fedoraproject:fedora:31:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:isc:bind::::::::	9.11.7 (incluyendo)	9.11.12 (incluyendo)
cpe:2.3:a:isc:bind::::::::	9.14.1 (incluyendo)	9.14.7 (incluyendo)
cpe:2.3:a:isc:bind::::::::	9.15.0 (incluyendo)	9.15.5 (incluyendo)
cpe:2.3:a:isc:bind:9.11.5:s6:::supported_preview:::*
cpe:2.3:a:isc:bind:9.11.6:p1::::::
cpe:2.3:a:isc:bind:9.11.6:rc1::::::
cpe:2.3:a:isc:bind:9.11.12:s1:::supported_preview:::*
cpe:2.3:a:isc:bind:9.12.4:p1::::::
cpe:2.3:a:isc:bind:9.12.4:p2::::::
cpe:2.3:o:fedoraproject:fedora:30:::::::*
cpe:2.3:o:fedoraproject:fedora:31:::::::*

Vulnerabilidad en consulta entrante en una conexión TCP en el servidor con pipelining habilitada (CVE-2019-6477)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información