کشف آسیب‌پذیری در نرم‌افزار Open vSwitch

کشف آسیب‌پذیری در نرم‌افزار Open vSwitch

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2023-3966 و شدت بالا (7.5) در Open vSwitch کشف شده است که در صورت بهره‌برداری توسط یه مهاجم ممکن است منجر به حمله انکار سرویس (Dos) و دسترسی غیر مجاز به حافظه شود. این نقص تنها در صورتی قابل بهره‌برداری است که بارگذاری در  سخت افزار (hardware offloading) از طریق مسیر netlink فعال باشد.
 بر اساس بردار حمله این آسیب‌پذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)  بهره‌برداری از طریق شبکه خارجی و از راه دور امکان‌پذیر است  (AV:N)، نیازمند هیچ پیش‌زمینه‌ای نبوده و به‌ راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حساب‌کاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U) و با بهره‌برداری از این آسیب‌پذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار می‌گیرد.

محصولات تحت‌تأثیر
openvswitch2.17 ، openvswitch2.13 ، openvswitch2.15  تحت‌تأثیر این نقص قرار دارند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود به نسخه openvswitch 3.1.0 و بالاتر به‌روزرسانی کنند.

منبع خبر:


https://nvd.nist.gov/vuln/detail/CVE-2023-3966