Vulnerabilidad en la biblioteca GNU C (glibc) (CVE-2022-39046)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
31/08/2022
Última modificación:
04/02/2024
Descripción
Se ha detectado un problema en la biblioteca GNU C (glibc) versión 2.36. Cuando a la función syslog le es pasada una cadena de entrada diseñada de más de 1024 bytes, lee memoria no inicializada de la pila y la imprime en el archivo de registro de destino, revelando potencialmente una parte del contenido de la pila
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnu:glibc:2.36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410c_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/176932/glibc-syslog-Heap-Based-Buffer-Overflow.html
- http://seclists.org/fulldisclosure/2024/Feb/3
- http://www.openwall.com/lists/oss-security/2024/01/30/6
- http://www.openwall.com/lists/oss-security/2024/01/30/8
- https://security.gentoo.org/glsa/202310-03
- https://security.netapp.com/advisory/ntap-20221104-0002/
- https://sourceware.org/bugzilla/show_bug.cgi?id=29536