Vulnerabilidad en Vixie Cron (CVE-2019-9706)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
12/03/2019
Última modificación:
30/11/2021
Descripción
Vixie Cron, en versiones anteriores a la 3.0pl1-133 en el paquete Debian, permite a los usuarios locales provocar una denegación de servicio (uso de memoria previamente liberada y cierre inesperado del demonio) debido a un error de force_rescan_user.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:debian:cron:3.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-100:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-101:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-102:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-103:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-104:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-105:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-106:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-107:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-108:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-109:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-110:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-111:*:*:*:*:*:* | ||
| cpe:2.3:a:debian:cron:3.0:pl1-112:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=809167
- https://lists.debian.org/debian-lts-announce/2019/03/msg00025.html
- https://lists.debian.org/debian-lts-announce/2021/10/msg00029.html
- https://packages.qa.debian.org/c/cron/news/20190311T170403Z.html
- https://salsa.debian.org/debian/cron/commit/40791b93