Vulnerabilidad en procesamiento de bases de datos de archivos de directorio libgetdata (CVE-2021-20204)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-119
Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria
Fecha de publicación:
06/05/2021
Última modificación:
17/10/2024
Descripción
Se puede desencadenar un problema de corrupción de la memoria de la pila (usar de la memoria previamente liberada) en libgetdata versión v0.10.0, cuando se procesan bases de datos de archivos de directorio diseñadas maliciosamente. Esto degrada la confidencialidad, integridad y disponibilidad del software de terceros que usa libgetdata como biblioteca. Esta vulnerabilidad puede conllevar a una ejecución de código arbitrario o una escalada de privilegios según la entrada y habilidades del atacante
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:getdata_project:getdata:0.10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=1956348
- https://lists.debian.org/debian-lts-announce/2021/05/msg00015.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/43JTGEMYMCTHD3LHFD7ENBNSWCNBCYEY/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GB7T7DW7XRPJOUE25ZE7GF244FPCHBWY/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OE23HBLIVKVPOQ5MVADWPOCFMREVF4QZ/