NVD脆弱性詳細

CVE-2021-3594

概要	An invalid pointer initialization issue was found in the SLiRP networking implementation of QEMU. The flaw exists in the udp_input() function and could occur while processing a udp packet that is smaller than the size of the 'udphdr' structure. This issue may lead to out-of-bounds read access or indirect host memory disclosure to the guest. The highest threat from this vulnerability is to data confidentiality. This flaw affects libslirp versions prior to 4.6.0.
公表日	2021年6月16日6:15
登録日	2021年6月16日10:00
最終更新日	2024年11月21日15:21

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:libslirp_project:libslirp::::::::					4.6.0

構成2	以上	以下	より上	未満
cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
cpe:2.3:o:redhat:enterprise_linux:8.0::::advanced_virtualization:::

構成3		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:9.0:::::::*

関連情報、対策とツール

No	URL	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=1970491	Issue Tracking Patch Third Party Advisory
2	https://bugzilla.redhat.com/show_bug.cgi?id=1970491	Issue Tracking Patch Third Party Advisory
3	https://lists.debian.org/debian-lts-announce/2021/09/msg00000.html	Mailing List Third Party Advisory
4	https://lists.debian.org/debian-lts-announce/2021/09/msg00000.html	Mailing List Third Party Advisory
5	https://lists.debian.org/debian-lts-announce/2023/03/msg00013.html
6	https://lists.debian.org/debian-lts-announce/2023/03/msg00013.html
7	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GCKWZWY64EHTOQMLVLTSZ4AA27EWRJMH/
8	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GCKWZWY64EHTOQMLVLTSZ4AA27EWRJMH/
9	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGPQZFVJCFGDSISFXPCQTTBBD7QZLJKI/
10	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/SGPQZFVJCFGDSISFXPCQTTBBD7QZLJKI/
11	https://security.gentoo.org/glsa/202107-44	Third Party Advisory
12	https://security.gentoo.org/glsa/202107-44	Third Party Advisory
13	https://security.netapp.com/advisory/ntap-20210805-0004/	Third Party Advisory
14	https://security.netapp.com/advisory/ntap-20210805-0004/	Third Party Advisory

共通脆弱性一覧

JVN脆弱性情報

libslirp における初期化されていないポインタのアクセスに関する脆弱性

タイトル	libslirp における初期化されていないポインタのアクセスに関する脆弱性
概要	libslirp には、初期化されていないポインタのアクセスに関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年6月10日0:00
登録日	2022年3月10日12:20
最終更新日	2022年3月10日12:20

影響を受けるシステム

レッドハット

Red Hat Enterprise Linux

Debian

Debian GNU/Linux

Fedora Project

Fedora

libslirp project

libslirp 4.6.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-3594	https://www.cve.org/CVERecord?id=CVE-2021-3594
National Vulnerability Database (NVD)
2	CVE-2021-3594	https://nvd.nist.gov/vuln/detail/CVE-2021-3594

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-824	https://cwe.mitre.org/data/definitions/824.html

ベンダー情報

No	名前	URL
Debian
1	[SECURITY] [DLA 2753-1] qemu security update	https://lists.debian.org/debian-lts-announce/2021/09/msg00000.html
Fedora Update Notification
2	FEDORA-2021-71de23bedd	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GCKWZWY64EHTOQMLVLTSZ4AA27EWRJMH/
3	FEDORA-2021-7cd749f133	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SGPQZFVJCFGDSISFXPCQTTBBD7QZLJKI/
GitLab
4	Add mtod_check()	https://gitlab.freedesktop.org/slirp/libslirp/-/commit/93e645e7
5	libslirp	https://gitlab.freedesktop.org/slirp/libslirp
6	udp: check upd_input buffer size	https://gitlab.freedesktop.org/slirp/libslirp/-/commit/74572be4
Red Hat Bugzilla
7	Bug 1970491	https://bugzilla.redhat.com/show_bug.cgi?id=1970491

その他

No	名前	URL
関連文書
1	GLSA 202107-44 (Multiple vulnerabilities have been found in libslirp, the worst of which could result in a Denial of Service condition.)	https://security.gentoo.org/glsa/202107-44

変更履歴

No	変更内容	変更日
1	[2022年03月10日] 掲載	2022年3月10日12:20