ASA-2019-00576 – ISC Kea DHCP: Ao validar requisições de entrada de clientes poderá levar a uma situação em que o servidor sairá ao tentar reiniciar


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00576

Identificador(es)

ASA-2019-00576, CVE-2019-6474

Título

Ao validar requisições de entrada de clientes poderá levar a uma situação em que o servidor sairá ao tentar reiniciar

Fabricante(s)

Internet Systems Consortium (ISC)

Produto(s)

ISC Kea DHCP

Versão(ões) afetada(s)

ISC Kea DHCP versão 1.6.0-beta1 e 1.6.0-beta2
ISC Kea DHCP versão 1.5.0
ISC Kea DHCP versão 1.4.0

Versão(ões) corrigida(s)

ISC Kea DHCP versão 1.6.0
ISC Kea DHCP versão 1.5.0-P1
ISC Kea DHCP versão 1.4.0-P2

Prova de conceito

Desconhecido

Descrição

Uma verificação ausente das requisições de entrada do cliente pode ser explorada para causar uma situação em que o armazenamento de concessão do servidor Kea contém concessões que são rejeitadas como inválidas quando o servidor tenta carregar concessões do armazenamento na reinicialização. Se o número de tais concessões exceder um limite codificado no código Kea, um servidor que estiver tentando reiniciar concluirá que há um problema com seu armazenamento de concessões e desistirá. Um invasor pode explorar a verificação ausente para criar deliberadamente uma situação em que o servidor não será reiniciado corretamente caso pare por qualquer motivo.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

CVE-2019-6474: An oversight when validating incoming client requests can lead to a situation where the Kea server will exit when trying to restart
https://kb.isc.org/docs/cve-2019-6474

CVE-2019-6474
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6474

CVE-2019-6474
https://nvd.nist.gov/vuln/detail/CVE-2019-6474

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.