Vulnerabilidad en la implementación del análisis de paquetes del espacio de usuario en openvswitch (CVE-2020-35498)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
11/02/2021
Última modificación:
23/04/2025
Descripción
Se encontró una vulnerabilidad en openvswitch. Una limitación en la implementación del análisis de paquetes del espacio de usuario puede permitir a un usuario malicioso envíe un paquete especialmente diseñado, lo que hace que el megaflujo resultante en el kernel sea demasiado amplio, causando potencialmente una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.5.0 (incluyendo) | 2.5.12 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.10 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.7.13 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.11 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.9 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.10.0 (incluyendo) | 2.10.7 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.11.0 (incluyendo) | 2.11.6 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.12.0 (incluyendo) | 2.12.3 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.13.3 (excluyendo) |
| cpe:2.3:a:openvswitch:openvswitch:*:*:*:*:*:*:*:* | 2.14.0 (incluyendo) | 2.14.2 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1908845
- https://lists.debian.org/debian-lts-announce/2021/02/msg00032.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UJ4DXFJWMZ325ECZXPZOSK7BOEDJZHPR/
- https://security.gentoo.org/glsa/202311-16
- https://www.debian.org/security/2021/dsa-4852
- https://www.openwall.com/lists/oss-security/2021/02/10/4
- https://bugzilla.redhat.com/show_bug.cgi?id=1908845
- https://lists.debian.org/debian-lts-announce/2021/02/msg00032.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/UJ4DXFJWMZ325ECZXPZOSK7BOEDJZHPR/
- https://security.gentoo.org/glsa/202311-16
- https://www.debian.org/security/2021/dsa-4852
- https://www.openwall.com/lists/oss-security/2021/02/10/4