Vulnérabilités dans openvswitch

CVE-2015-8011 [Score CVSS v3 : 9.8] : Une vulnérabilité au sein de la fonction lldp_decode dans lldpd a été corrigée. Le dépassement de tampon dans cette fonction peut permettre à un attaquant distant et non authentifié de provoquer un déni de service et éventuellement d'exécuter du code arbitraire via des vecteurs impliquant de grandes adresses de gestion et des limites de descripteurs (TLV).

CVE-2020-27827[Score CVSS v3 : 7.5] : Une faille a été corrigée dans openvswitch. Des paquets LLDP spécialement conçus peuvent entraîner une perte de mémoire lors de l'allocation de données pour gérer des TLV optionnelles spécifiques, ce qui peut provoquer un déni de service. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité.

CVE-2020-10722[Score CVSS v3 : 6.7] : Une vulnérabilité a été corrigée dans DPDK. Une vérification manquante permet un débordement d'entier dans vhost_user_set_log_base() pourrait résulter en une carte mémoire plus petite que celle demandée. En exploitant cette faille, un attaquant local et authentifié peut potentiellement provoquer un déni de service en corrompant la mémoire du dispositif.

CVE-2020-10723[Score CVSS v3 : 6.7] : Un problème de corruption de mémoire a été corrigé DPDK. Cette faille est causée par une troncature d'entier sur l'index d'une charge utile. Dans certaines circonstances, l'index (de type UInt) est copié et tronqué en un uint16, ce qui peut entraîner une indexation hors limites et une possible corruption de la mémoire. Cette faille est exploitable par un attaquant local et authentifié.