Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la función unpack_timestamp() en el firmware OpenPOWER (CVE-2021-36357)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/10/2021
Última modificación:
27/10/2021

Descripción

Se ha detectado un problema en el firmware OpenPOWER versión 2.6. la función unpack_timestamp() llama a la función le32_to_cpu() para la conversión endiana de un valor "year" uint16_t, resultando en un desajuste de tipo que puede truncar un valor entero mayor a uno más pequeño y omitir una comprobación de marca de tiempo. La corrección consiste en usar la función de conversión endiana correcta

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:openpowerfoundation:skiboot:2.6:*:*:*:*:*:*:*