Vulnerabilidad en los descriptores de anillo de Virtio en vhost_crypto en dpdk (CVE-2020-14375)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/09/2020
Última modificación:
05/05/2021
Descripción
Se encontró un fallo en dpdk en versiones anteriores a 18.11.10 y anteriores a 19.11.5. Los descriptores de anillo de Virtio y los datos que describen se encuentran en una región de memoria accesible tanto desde la máquina virtual como desde el host. Un atacante en una máquina virtual puede cambiar el contenido de la memoria después de que vhost_crypto lo haya validado. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dpdk:data_plane_development_kit:*:*:*:*:*:*:*:* | 18.02.1 (incluyendo) | 18.11.10 (excluyendo) |
| cpe:2.3:a:dpdk:data_plane_development_kit:*:*:*:*:*:*:*:* | 19.02 (incluyendo) | 19.11.5 (excluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00004.html
- http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00006.html
- http://www.openwall.com/lists/oss-security/2021/01/04/1
- http://www.openwall.com/lists/oss-security/2021/01/04/2
- http://www.openwall.com/lists/oss-security/2021/01/04/5
- https://bugzilla.redhat.com/show_bug.cgi?id=1879468
- https://usn.ubuntu.com/4550-1/
- https://www.openwall.com/lists/oss-security/2020/09/28/3