低危 Open vSwitch up to 2.8.0 OpenFlow Group Mod Message lib/ofp-util.c 拒绝服务漏洞

CVE编号

CVE-2017-14970

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-10-02

漏洞描述

Open vSwitch（OvS）是一款以开源技术作为基础（遵循Apache2.0许可）的多层虚拟交换机产品，它通过编程扩展支持大规模网络自动化，标准的管理接口和协议等。 OvS 2.8.1之前的版本中的lib/ofp-util.c文件存在安全漏洞。远程攻击者可利用该漏洞造成拒绝服务。

解决建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：http://openvswitch.org/

参考链接
https://mail.openvswitch.org/pipermail/ovs-dev/2017-September/339085.html
https://mail.openvswitch.org/pipermail/ovs-dev/2017-September/339086.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	openvswitch	openvswitch	*		Up to (including) 2.8.0
	运行在以下环境
	系统	debian_10	openvswitch	*		Up to (excluding) 2.8.1+dfsg1-2
	运行在以下环境
	系统	debian_11	openvswitch	*		Up to (excluding) 2.8.1+dfsg1-2
	运行在以下环境
	系统	debian_12	openvswitch	*		Up to (excluding) 2.8.1+dfsg1-2
	运行在以下环境
	系统	debian_sid	openvswitch	*		Up to (excluding) 2.8.1+dfsg1-2
	运行在以下环境
	系统	fedora_26	openvswitch	*		Up to (excluding) 2.7.3-2.fc26
	运行在以下环境
	系统	fedora_27	openvswitch	*		Up to (excluding) 2.8.1-1.fc27
	运行在以下环境
	系统	opensuse_Leap_42.3	openvswitch-test	*		Up to (excluding) 2.7.0-7.1
	运行在以下环境
	系统	suse_12	openvswitch	*		Up to (excluding) 2.7.0-3.10
	运行在以下环境
	系统	suse_12_SP2	openvswitch-dpdk-switch	*		Up to (excluding) 2.5.1-25.12.7
	运行在以下环境
	系统	suse_12_SP3	openvswitch	*		Up to (excluding) 2.7.0-3.10.1
	运行在以下环境
	系统	ubuntu_18.04.5_lts	openvswitch	*		Up to (excluding) 2.9.0-0ubuntu1

阿里云评分 2.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-772	对已超过有效生命周期的资源丧失索引

Exp相关链接

- avd.aliyun.com