Open vSwitch – CVE-2022-4338
Date de publication :
Une erreur lors du traitement des données TLV permet à un attaquant distant d’utiliser des paquets LLDP forgés afin de provoquer un déni de service ou d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire (à distance).
Déni de service.
Exploitation
La vulnérabilité exploitée est du type
CWE-191: Integer Underflow (Wrap or Wraparound)
Détails sur l’exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
versions d’Open vSwitch vulnérables :
Les versions suivantes d’Open vSwitch sont vulnérables :
- 3.0.0 à 3.0.2.
- 2.17.0 - 2.17.4.
- 2.16.0 à 2.16.5.
- 2.15.0 à 2.15.6.
- 2.14.0 à 2.14.7.
- 2.13.0 à 2.13.9.
- 2.12.0 à 2.12.4.
- 2.11.0 à 2.11.7.
- 2.10.0 à 2.10.7.
- 2.9.0 à 2.9.9.
- 2.8.0 à 2.8.11.
- 2.7.0 à 2.7.13.
- 2.6.0 à 2.6.10.
- 2.5.0 à 2.5.12.
- 2.4 à 2.4.1.
Contournement provisoire
Blocage des paquets LLDP entrants vers Open vSwitch. Une description de la procédure est disponible ici.
Solutions ou recommandations
- Mettre à jour Open vSwitch vers les versions 3.0.3, 2.17.5, 2.16.6, 2.15.7, 2.14.8, 2.13.10, ou toutes autres versions ultérieures.
- Des informations complémentaires sont disponibles ici.