PT-2021-21249 · Openpower · Openpower
Publicado
2021-10-22
·
Atualizado
2021-10-27
·
CVE-2021-36357
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OpenPOWER versão 2.6
Descrição
Foi descoberta uma falha no firmware do OpenPOWER. A função
unpack timestamp() chama le32 to cpu() para a conversão de endianismo de um valor uint16 t de “ano”, resultando em uma incompatibilidade de tipos que pode truncar um valor inteiro maior para um menor e contornar uma verificação de carimbo de data/hora.Recomendações
Para a versão 2.6 do OpenPOWER, a correção consiste em usar a função de conversão de endian correta.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openpower