Hyperkit de Moby Errores de seguridad

Errores CVE de Hyperkit de Moby

Vulnerabilidades CVE de Hyperkit de Moby

HyperKit es un conjunto de herramientas para incorporar capacidades de hipervisor en una aplicación

21 de febrero del 2023

  • CVE-2021-32847 : En las versiones 0.20210107 y anteriores, un huésped malicioso puede desencadenar una vulnerabilidad en el host al abusar del controlador de disco que puede provocar la divulgación de la memoria del host en el huésped virtualizado. Este problema se corrige en la confirmación cf60095a4d8c3cb2e182a14415467afd356e982f.

17 de febrero del 2023

  • CVE-2021-32846 : En las versiones 0.20210107, la función `pci_vtsock_proc_tx` en `virtio-sock` puede conducir al uso de memoria no inicializada. En esta situación, hay una verificación para que el valor de retorno sea menor o igual a `VTSOCK_MAXSEGS`, pero esa verificación no es suficiente porque la función puede devolver `-1` si encuentra un error del que no puede recuperarse. Además, `iovec_pull` usará el valor de retorno negativo en una condición while que puede conducir a más corrupción porque la función no está diseñada para manejar un `iov_len` negativo. Este problema puede provocar que un invitado bloquee el host, lo que provoca una denegación de servicio y, en determinadas circunstancias, daños en la memoria. Este problema se corrige en la confirmación af5eba2360a7351c08dfd9767d9be863a50ebaba.
  • CVE-2021-32845 : En las versiones 0.20210107 y anteriores de HyperKit, la implementación de `qnotify` en `pci_vtrnd_notify` no verifica el valor de retorno de `vq_getchain`. Esto lleva a que `struct iovec iov;` no se inicialice y se use para leer la memoria en `len = (int) read(sc->vrsc_fd, iov.iov_base, iov.iov_len);` cuando un atacante puede hacer `vq_getchain` fallar. Este problema puede provocar que un invitado bloquee el host, lo que provoca una denegación de servicio y, en determinadas circunstancias, daños en la memoria. Este problema se solucionó en la confirmación 41272a980197917df8e58ff90642d14dec8fe948.
  • CVE-2021-32844 : En las versiones 0.20210107 y anteriores de HyperKit, `vi_pci_write` tiene una llamada a `vc_cfgwrite` que no busca valores nulos que, cuando se llama, hace que el host se bloquee. Este problema puede provocar que un invitado bloquee el host y provoque una denegación de servicio. Este problema se solucionó en la confirmación 451558fe8aaa8b24e02e34106e3bb9fe41d7ad13.
  • CVE-2021-32843 : En las versiones 0.20210107 y anteriores de HyperKit, `virtio.c` tiene una llamada a `vc_cfgread` que no busca valores nulos que, cuando se llama, hace que el host se bloquee. Este problema puede provocar que un invitado bloquee el host y provoque una denegación de servicio. Este problema se solucionó en la confirmación df0e46c7dbfd81a957d85e449ba41b52f6f7beb4.

Sitios de referencia

  • CVE-2021-32847 https://github.com/moby/hyperkit/commit/cf60095a4d8c3cb2e182a14415467afd356e982f
  • CVE-2021-32846 https://securitylab.github.com/advisories/GHSL-2021-054_057-moby-hyperkit/

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-24. Fecha publicación el 2023-02-21. Autor: Oscar olg Mapa del sitio Fuente: cve report