低危 Open vSwitch 资源管理错误漏洞

CVE编号

CVE-2021-36980

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-07-20
漏洞描述
Open vSwitch是一个开源的虚拟交换机。
Open vSwitch(又名 openvswitch)2.11.0 到 2.15.0版本存在资源管理错误漏洞,该漏洞源于decode_NXAST_RAW_ENCAP(从 ofpact_decode 和 ofpacts_decode 调用)中在解码 RAW_ENCAP 动作期间有一个释放后使用。
解决建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://github.com/openvswitch/ovs
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 openvswitch openvswitch * From
(including)
2.11.0
Up to
(including)
2.15.0
运行在以下环境
系统 alpine_3.14 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 alpine_3.15 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 alpine_3.16 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 alpine_3.17 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 alpine_3.18 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 alpine_3.19 openvswitch * Up to
(excluding)
2.12.3-r2
运行在以下环境
系统 debian_10 openvswitch * Up to
(excluding)
2.10.7+ds1-0+deb10u4
运行在以下环境
系统 debian_11 openvswitch * Up to
(excluding)
2.15.0+ds1-2+deb11u1
运行在以下环境
系统 debian_12 openvswitch * Up to
(excluding)
2.15.0+ds1-10
运行在以下环境
系统 debian_9 openvswitch * Up to
(excluding)
2.6.10-0+deb9u1
运行在以下环境
系统 kylinos_aarch64_V10SP1 openvswitch * Up to
(excluding)
2.12.0-11.ky10
运行在以下环境
系统 kylinos_aarch64_V10SP2 openvswitch * Up to
(excluding)
2.12.0-12.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP1 openvswitch * Up to
(excluding)
2.12.0-11.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 openvswitch * Up to
(excluding)
2.12.0-12.ky10
运行在以下环境
系统 opensuse_Leap_15.3 ovn * Up to
(excluding)
0-2.14.2-150300.19.3.1
运行在以下环境
系统 opensuse_Leap_15.4 ovn * Up to
(excluding)
20.06.2-150400.24.3.1
运行在以下环境
系统 suse_12_SP5 openvswitch * Up to
(excluding)
2.11.5-3.6.1
运行在以下环境
系统 ubuntu_20.04 openvswitch * Up to
(excluding)
2.13.3-0ubuntu0.20.04.2
运行在以下环境
系统 ubuntu_21.04 openvswitch * Up to
(excluding)
2.15.0-0ubuntu3.1
阿里云评分
3.4
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-416 释放后使用
阿里云安全产品覆盖情况