PT-2021-4114 · Libyang+2 · Libyang+2

Zounathan

·

Publicado

2021-03-08

·

Atualizado

2022-08-26

·

CVE-2021-28905

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões da libyang anteriores à 1.0.226
Descrição
O problema está relacionado à função lys node free() na biblioteca libyang, onde ela afirma incorretamente que o valor de node->module não pode ser NULL. No entanto, em certos casos, node->module pode de fato ser nulo, levando a uma asserção alcançável. Isso pode potencialmente permitir que um invasor remoto cause uma negação de serviço.
Recomendações
Para versões do libyang anteriores à 1.0.226, atualize para a versão 1.0.226 ou posterior para resolver o problema. Como solução temporária, considere modificar a função lys node free() para lidar adequadamente com casos em que node->module é nulo, até que um patch esteja disponível.

Exploit

Correção

Assertion Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-617

Identificadores relacionados

BDU:2021-04704
CVE-2021-28905
OPENSUSE-SU-2022_2922-1
SUSE-SU-2022:2922-1
SUSE-SU-2022_2922-1

Produtos afetados

Debian
Suse
Libyang