PT-2020-10440 · Opensuse · Lustre
Publicado
2020-01-27
·
Atualizado
2020-01-29
·
CVE-2019-20427
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do sistema de arquivos Lustre anteriores à 2.12.3
Descrição
O problema está relacionado a um estouro de buffer e panico, e possivelmente à execução remota de código, no módulo ptlrpc devido à falta de validação de campos específicos dos pacotes enviados por um cliente. Isso ocorre devido a uma interação entre
req capsule get size e tgt brw write que leva a um erro de sinalidade do inteiro tgt shortio2pages.Recomendações
Para versões anteriores à 2.12.3, atualize para a versão 2.12.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao módulo ptlrpc para minimizar o risco de exploração.
Exploit
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lustre