CVE-2019-18903

wicked: Use-after-free when receiving invalid DHCP6 IA_PD option

CVSS 7.5 HIGHEPSS 2.4%CWE-416

En resumen

Un defecto en la gestión de memoria de wicked permite a un atacante enviar una opción de configuración de red DHCP6 malformada que congela el sistema o potencialmente ejecuta código. Esto afecta la configuración de red en sistemas SUSE Linux.

Detalle técnico

Vulnerabilidad use-after-free en el manejador de opción IA_PD de DHCP6 de wicked permite que atacantes remotos causen corrupción de memoria a través de paquetes DHCPv6 especialmente diseñados. La falla puede resultar en denegación de servicio o ejecución arbitraria de código, requiriendo acceso a nivel de red como precondición.

Resumen generado y traducido por IA a partir de la descripción oficial.

A Use After Free vulnerability in wicked of SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 15; openSUSE Leap 15.1, Factory allows remote attackers to cause DoS or potentially code execution. This issue affects: SUSE Linux Enterprise Server 12 wicked versions prior to 0.6.60-2.18.1. SUSE Linux Enterprise Server 15 wicked versions prior to 0.6.60-28.26.1. openSUSE Leap 15.1 wicked versions prior to 0.6.60-lp151.2.9.1. openSUSE Factory wicked versions prior to 0.6.62.

CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

openSUSE · Factory openSUSE · Leap 15.1 SUSE · SUSE Linux Enterprise Server 12 SUSE · SUSE Linux Enterprise Server 15

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bugzilla.suse.com/show_bug.cgi?id=1160904