Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw

21 апреля 2020 года

В пакетном фильтре ipfw устранены две уязвимости в коде разбора опций TCP, вызванные некорректной проверкой данных в обрабатываемых сетевых пакетах. Первая уязвимость (CVE-2019-5614) при обработке определённым образом оформленных TCP-пакетов может привести к доступу к памяти вне выделенного буфера mbuf, а вторая (CVE-2019-15874) к обращению к уже освобождённым областям памяти (use-after-free).

Анализ пригодности выявленных проблем для эксплуатации, способной инициировать выполнение кода злоумышленника, не производился, но не исключается, что уязвимости могут не ограничиться вызовом краха ядра. Проблемы исправлены в обновлениях FreeBSD 11.3-RELEASE-p8 и 12.1-RELEASE-p4 (в stable-ветки исправления были внесены ещё в декабре прошлого года, но о том, что эти исправления связаны с устранением уязвимости стало известно только сейчас).

Источники

править
 
 
Creative Commons
Эта статья содержит материалы из статьи «Во FreeBSD устранены удалённо эксплуатируемые уязвимости в ipfw», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.