BDU:2017-01589

Опубликовано: 19 июн. 2017

Источник: fstec

CVSS2: 7.5

EPSS Низкий

Описание

Уязвимость функции qsort операционной системы NetBSD связана с ошибками управления ресурсом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код (расходование памяти) с помощью специально сформированного входного массива

Вендор

The NetBSD Project

Наименование ПО

NetBSD

Версия ПО

до 7.1 включительно (NetBSD)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций: http://cvsweb.netbsd.org/bsdweb.cgi/src/lib/libc/stdlib/qsort.c?rev=1.23&content-type=text/x-cvsweb-markup

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%

0.03981

Низкий

7.5 High

CVSS2

Связанные уязвимости

CVE-2017-1000378

CVSS3: 9.8

nvd

больше 8 лет назад

The NetBSD qsort() function is recursive, and not randomized, an attacker can construct a pathological input array of N elements that causes qsort() to deterministically recurse N/4 times. This allows attackers to consume arbitrary amounts of stack memory and manipulate stack memory to assist in arbitrary code execution attacks. This affects NetBSD 7.1 and possibly earlier versions.

GHSA-qc88-87cw-xw5j