PT-2020-6733 · Libvirt+4 · Libvirt+4

Publicado

2020-03-25

·

Atualizado

2024-11-13

·

CVE-2020-12430

CVSS v2.0

6.8

Média

VetorAV:N/AC:L/Au:S/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões 4.10.0 a 6.0 do libvirt
Descrição
O problema está relacionado a um vazamento de memória na API virDomainListGetStats do libvirt, responsável por recuperar estatísticas de domínio ao gerenciar convidados QEMU. Essa falha permite que usuários sem privilégios, com uma conexão somente leitura, causem um vazamento de memória no comando domstats, resultando em uma potencial negação de serviço. O vazamento de memória é causado pela liberação incorreta da memória antes da remoção da última referência.
Recomendações
Para as versões 4.10.0 a 6.0 do libvirt, atualize para a versão 6.1.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à API virDomainListGetStats para minimizar o risco de exploração. Evite usar o comando domstats até que o problema seja resolvido.

Correção

DoS

Memory Leak

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401

Identificadores relacionados

ALT-PU-2020-1595
ALT-PU-2021-1690
ALT-PU-2021-1965
BDU:2022-05833
CVE-2020-12430
DLA-3778-1
MGASA-2020-0250
OPENSUSE-SU-2024:14490-1
SUSE-SU-2020:1208-1
SUSE-SU-2020:1277-1
USN-4371-1

Produtos afetados

Alt Linux
Astra Linux
Suse
Ubuntu
Libvirt