Vulnerabilidad en la función unpack_timestamp() en el firmware OpenPOWER (CVE-2021-36357)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/10/2021
Última modificación:
27/10/2021
Descripción
Se ha detectado un problema en el firmware OpenPOWER versión 2.6. la función unpack_timestamp() llama a la función le32_to_cpu() para la conversión endiana de un valor "year" uint16_t, resultando en un desajuste de tipo que puede truncar un valor entero mayor a uno más pequeño y omitir una comprobación de marca de tiempo. La corrección consiste en usar la función de conversión endiana correcta
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:openpowerfoundation:skiboot:2.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página