Vulnerabilidad en Xenstore (CVE-2022-42319)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/11/2022
Última modificación:
04/02/2024
Descripción
Xenstore: Los invitados pueden hacer que Xenstore no libere memoria temporal Cuando trabaja en una solicitud de un invitado, es posible que xenstored necesite asignar cantidades bastante grandes de memoria temporalmente. Esta memoria se libera sólo después de que la solicitud haya finalizado por completo. Una solicitud se considera finalizada sólo después de que el huésped haya leído el mensaje de respuesta de la solicitud desde la página de timbre. Por lo tanto, un invitado que no lea la respuesta puede hacer que xenstored no libere la memoria temporal. Esto puede provocar escasez de memoria y provocar Denegación de Servicio (DoS) de xenstored.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:xen:xen:*:*:*:*:*:*:*:* | 4.9.0 (incluyendo) | |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/11/01/6
- http://xenbits.xen.org/xsa/advisory-416.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YTMITQBGC23MSDHUCAPCVGLMVXIBXQTQ/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YZVXG7OOOXCX6VIPEMLFDPIPUTFAYWPE/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZLI2NPNEH7CNJO3VZGQNOI4M4EWLNKPZ/
- https://security.gentoo.org/glsa/202402-07
- https://www.debian.org/security/2022/dsa-5272
- https://xenbits.xenproject.org/xsa/advisory-416.txt