TLP:CLEAR PAP:WHITE
Aviso de seguridad de Debian para c-ares
Descripción
Se descubrieron dos vulnerabilidades en c-ares, una biblioteca de resolución de nombres asíncrona:
CVE-2023-31130: Se descubrió que ares_inet_net_pton() es vulnerable a un desbordamiento del búfer para ciertas direcciones ipv6, en particular, se descubrió que "0::00:00:00/2" causaba un problema. c-ares solo usa esta función internamente para fines de configuración; sin embargo, el uso externo para otros fines puede causar problemas más graves.
CVE-2023-32067: La resolución de destino puede interpretar erróneamente un paquete UDP mal formado con una longitud de 0 como un apagado correcto de la conexión, lo que podría causar una denegación de servicio.
CVE-2023-31130: Se descubrió que ares_inet_net_pton() es vulnerable a un desbordamiento del búfer para ciertas direcciones ipv6, en particular, se descubrió que "0::00:00:00/2" causaba un problema. c-ares solo usa esta función internamente para fines de configuración; sin embargo, el uso externo para otros fines puede causar problemas más graves.
CVE-2023-32067: La resolución de destino puede interpretar erróneamente un paquete UDP mal formado con una longitud de 0 como un apagado correcto de la conexión, lo que podría causar una denegación de servicio.
Productos afectados
c-ares
Riesgo
Alto
Soluciones
Para la distribución estable (bullseye), estos problemas se han solucionado en la versión 1.17.1-1+deb11u3.
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es