Vulnerabilidad en una firma ECDSA (CVE-2022-38177)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/09/2022
Última modificación:
28/05/2025
Descripción
Al falsificar el resolver objetivo con respuestas que presentan una firma ECDSA malformada, un atacante puede desencadenar una pequeña pérdida de memoria. Es posible erosionar gradualmente la memoria disponible hasta el punto de que named sea bloqueado por falta de recursos
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:isc:bind:*:*:*:*:-:*:*:* | 9.8.4 (incluyendo) | 9.16.32 (incluyendo) |
| cpe:2.3:a:isc:bind:9.9.3:s1:*:*:*:supported_preview:*:* | ||
| cpe:2.3:a:isc:bind:9.9.3:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.12:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.9.13:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.10.5:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.10.7:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.3:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.5:s3:*:*:*:supported_preview:*:* | ||
| cpe:2.3:a:isc:bind:9.11.5:s3:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.5:s5:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.5:s6:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.6:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.7:s1:*:*:supported_preview:*:*:* | ||
| cpe:2.3:a:isc:bind:9.11.8:s1:*:*:supported_preview:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/09/21/3
- https://kb.isc.org/docs/cve-2022-38177
- https://lists.debian.org/debian-lts-announce/2022/10/msg00007.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/
- https://security.gentoo.org/glsa/202210-25
- https://security.netapp.com/advisory/ntap-20221228-0010/
- https://www.debian.org/security/2022/dsa-5235
- http://www.openwall.com/lists/oss-security/2022/09/21/3
- https://kb.isc.org/docs/cve-2022-38177
- https://lists.debian.org/debian-lts-announce/2022/10/msg00007.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/CV4GQWBPF7Y52J2FA24U6UMHQAOXZEF7/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MRHB6J4Z7BKH4HPEKG5D35QGRD6ANNMT/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YZJQNUASODNVAWZV6STKG5SD6XIJ446S/
- https://security.gentoo.org/glsa/202210-25
- https://security.netapp.com/advisory/ntap-20221228-0010/
- https://www.debian.org/security/2022/dsa-5235