Vulnerabilidad en el uso de "patch" o "merge" en "state" en Tremor (CVE-2021-39228)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
17/09/2021
Última modificación:
30/09/2021
Descripción
Tremor es un sistema de procesamiento de eventos para datos no estructurados. Se presenta una vulnerabilidad entre las versiones 0.7.2 y 0.11.6. Esta vulnerabilidad es un problema de seguridad de memoria cuando es usado "patch" o "merge" en "state" y se asigna el resultado de nuevo a "state". En este caso, las versiones afectadas de Tremor y el crate tremor-script mantienen referencias a la memoria que podrían haber sido liberadas ya. Y estas regiones de memoria pueden ser accedidas al recuperar el "state", por ejemplo, enviándolo por TCP o HTTP. Esto requiere que el servidor Tremor (o cualquier otro programa usando tremor-script) ejecute un script tremor-script que use la construcción de lenguaje mencionada. El problema ha sido parcheado en la versión 0.11.6, al eliminar la optimización y clonando siempre la expresión de destino de una Fusión o Parche. Si no es posible una actualización, una posible solución es evitar la optimización introduciendo una variable temporal y no reasignando inmediatamente a "state"
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:linuxfoundation:tremor:*:*:*:*:*:*:*:* | 0.7.2 (incluyendo) | 0.11.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página