Informazioni sul CVE-2023-4806
Glibc: potential use-after-free in getaddrinfo()
CWE ID: CWE-416
Base Score (CVSS): N/A
CVE: CVE-2023-4806
Descrizione: A flaw was found in glibc. In an extremely rare situation, the getaddrinfo function may access memory that has been freed, resulting in an application crash. This issue is only exploitable when a NSS module implements only the _nss_*_gethostbyname2_r and _nss_*_getcanonname_r hooks without implementing the _nss_*_gethostbyname3_r hook. The resolved name should return a large number of IPv6 and IPv4, and the call to the getaddrinfo function should have the AF_INET6 address family with AI_CANONNAME, AI_ALL and AI_V4MAPPED as flags.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2023:5453
- https://access.redhat.com/errata/RHSA-2023:5455
- https://access.redhat.com/errata/RHSA-2023:7409
- https://access.redhat.com/security/cve/CVE-2023-4806
- https://bugzilla.redhat.com/show_bug.cgi?id=2237782
Prodotti interessati
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 8.6 Extended Update Support
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Enterprise Linux 9
- Red Hat – Red Hat Virtualization 4 for Red Hat Enterprise Linux 8
- Red Hat – Red Hat Enterprise Linux 6
- Red Hat – Red Hat Enterprise Linux 6
- Red Hat – Red Hat Enterprise Linux 7
- Red Hat – Red Hat Enterprise Linux 7
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 7
Anno: 2023
CWE: CWE-416
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8
Anno: 2023
CWE: CWE-416
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 9
Anno: 2023
CWE: CWE-416
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 6
Anno: 2023
CWE: CWE-416
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Enterprise Linux 8.6 Extended Update Support
Anno: 2023
CWE: CWE-416
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Virtualization 4 for Red Hat Enterprise Linux 8
Anno: 2023
CWE: CWE-416
CVSS: 0.0