Vulnerabilidad en el archivo lib/timerqueue.c en la función timerqueue_add en el kernel de Linux (CVE-2021-20317)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/09/2021
Última modificación:
14/06/2022
Descripción
Se ha encontrado un fallo en el kernel de Linux. Un árbol de temporizadores corrompido hacía que faltara el despertar de la tarea en la función timerqueue_add en el archivo lib/timerqueue.c. Este defecto permite a un atacante local con privilegios de usuario especiales causar una denegación de servicio, ralentizando y eventualmente deteniendo el sistema mientras se ejecuta OSP
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.90
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | 5.4 (excluyendo) | |
| cpe:2.3:o:linux:linux_kernel:5.4:-:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=2005258
- https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf
- https://git.kernel.org/pub/scm/linux/kernel/git/tip/tip.git/commit/?id=511885d7061eda3eb1faf3f57dcc936ff75863f1
- https://lists.debian.org/debian-lts-announce/2021/12/msg00012.html
- https://lists.debian.org/debian-lts-announce/2022/03/msg00012.html
- https://www.debian.org/security/2022/dsa-5096