lldpd_project lldpd 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2020-27827

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-03-19

漏洞描述

A flaw was found in multiple versions of OpenvSwitch. Specially crafted LLDP packets can cause memory to be lost when allocating data to handle specific optional TLVs, potentially causing a denial of service. The highest threat from this vulnerability is to system availability.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1921438
https://cert-portal.siemens.com/productcert/pdf/ssa-941426.pdf
https://mail.openvswitch.org/pipermail/ovs-dev/2021-January/379471.html
https://us-cert.cisa.gov/ics/advisories/icsa-21-194-07

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	lldpd_project	lldpd	*		Up to (excluding) 1.0.8
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.10.0	Up to (excluding) 2.10.6
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.11.0	Up to (excluding) 2.11.5
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.12.0	Up to (excluding) 2.12.2
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.13.0	Up to (excluding) 2.13.2
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.14.0	Up to (excluding) 2.14.1
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.6.0	Up to (excluding) 2.6.9
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.7.0	Up to (excluding) 2.7.12
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.8.0	Up to (excluding) 2.8.10
	运行在以下环境
	应用	openvswitch	openvswitch	*	From (including) 2.9.0	Up to (excluding) 2.9.8
	运行在以下环境
	应用	redhat	openshift_container_platform	4.0	-
	运行在以下环境
	应用	redhat	openstack	10	-
	运行在以下环境
	应用	redhat	openstack	13.0	-
	运行在以下环境
	应用	redhat	virtualization	4.0	-
	运行在以下环境
	系统	alpine_3.12	lldpd	*		Up to (excluding) 1.0.8-r0
	运行在以下环境
	系统	alpine_3.13	lldpd	*		Up to (excluding) 1.0.8-r0
	运行在以下环境
	系统	alpine_3.14	lldpd	*		Up to (excluding) 1.0.8-r0
	运行在以下环境
	系统	alpine_3.15	lldpd	*		Up to (excluding) 2.12.2-r0
	运行在以下环境
	系统	alpine_edge	lldpd	*		Up to (excluding) 2.12.2-r0
	运行在以下环境
	系统	debian_10	lldpd	*		Up to (excluding) 1.0.3-1
	运行在以下环境
	系统	debian_11	lldpd	*		Up to (excluding) 2.15.0~git20210104.def6eb1ea+dfsg1-3
	运行在以下环境
	系统	debian_9	lldpd	*		Up to (excluding) 0.9.6-1
	运行在以下环境
	系统	fedora_33	lldpd	*		Up to (excluding) 20.11-1.fc33
	运行在以下环境
	系统	opensuse_Leap_15.2	lldpd	*		Up to (excluding) 2.13.2-lp152.3.9.1
	运行在以下环境
	系统	suse_12_SP5	lldpd	*		Up to (excluding) 0-2.11.5-3.3.2
	运行在以下环境
	系统	ubuntu_16.04	lldpd	*		Up to (excluding) 2.5.9-0ubuntu0.16.04.2
	运行在以下环境
	系统	ubuntu_18.04	lldpd	*		Up to (excluding) 2.9.7-0ubuntu0.18.04.2
	运行在以下环境
	系统	ubuntu_20.04	lldpd	*		Up to (excluding) 2.13.1-0ubuntu0.20.04.3
	运行在以下环境
	系统	ubuntu_21.04	lldpd	*		Up to (excluding) 2.15.0-0ubuntu1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围全局影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性传输被破坏
服务器危害 DoS
全网数量 N/A

CWE-ID 漏洞类型 CWE-400 未加控制的资源消耗（资源穷尽）

正文

lldpd_project lldpd 未加控制的资源消耗（资源穷尽）

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

PHP ‘serialize_function_call()’函数远程代码执行漏洞

PHP远程代码执行漏洞（CNVD-2015-06226）

OpenSSH 至 7.1p1 packet.c ssh_packet_read_poll2 内存破坏漏洞

PHP 'gdImageRotateInterpolated'函数拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]