CVE-2024-12455

一、漏洞信息
 漏洞编号：[CVE-2024-12455](https://nvd.nist.gov/vuln/detail/CVE-2024-12455)
 漏洞归属组件：[glibc](https://gitee.com/src-openeuler/glibc)
 漏洞归属的版本：2.28,2.31,2.34,2.35,2.36,2.38
 CVSS V3.0分值：
  BaseScore：6.3 Medium
  Vector：CVSS：3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
 漏洞简述：
  A flaw was found in Fedora 41 s glibc implementation of getrandom() for ppc64le. This issue occurs due to an implementation error for a vDSO indirect function call and the way the return of success and possible error codes are signaled on this platform. As a result, getrandom() fails to produce randomness or may end up causing an out-of-bounds write. As the attacker has no full control over where the out-of-bounds write may happen, the most likely result is smaller data corruption or a Denial-of-Service of the affected application.This issue is specific for glibc-2.40-12.fc41 as shipped with Fedora 41 only.
 漏洞公开时间：
 漏洞创建时间：2024-12-13 10:38:14
 漏洞详情参考链接：
  https://nvd.nist.gov/vuln/detail/CVE-2024-12455
<details>
<summary>更多参考(点击展开)</summary>

| 参考来源 | 参考链接 | 来源链接 |
| ------- | -------- | -------- |
| suse_bugzilla | http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-12455 | https://bugzilla.suse.com/show_bug.cgi?id=1234479 |
| suse_bugzilla | https://bugzilla.redhat.com/show_bug.cgi?id=2332111 | https://bugzilla.suse.com/show_bug.cgi?id=1234479 |
| debian |  | https://security-tracker.debian.org/tracker/CVE-2024-12455 |

</details>

漏洞分析指导链接：
  https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
 漏洞数据来源:
  openBrain开源漏洞感知系统
 漏洞补丁信息：
  <details>
<summary>详情(点击展开)</summary>

| 影响的包 | 修复版本 | 修复补丁 | 问题引入补丁 | 来源  |
| ------- | -------- | ------- | -------- | --------- |
|  |  | https://sourceware.org/git?p=glibc.git;a=commit;h=4f5704ea347e52ac3f272d1341da10aed6e9973e |  | debian |

</details>

二、漏洞分析结构反馈
 影响性分析说明：
  fedora41版本ppc64le架构使用getrandom()接口越界造成越界写，原因是对应的vDSO的实现有问题，在vDSO函数返回成功之后还带上了error code，这样会造成getrandom异常处理时出现生成随机数失败或产生越界写问题。注意该问题只在fedora41的版本有影响，不影响任何glibc正式版本。详见说明:https://access.redhat.com/security/cve/cve-2024-12455
 openEuler评分：
  6.3
 Vector：CVSS：3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
 受影响版本排查(受影响/不受影响)：
  1.master(2.38):不受影响
2.openEuler-20.03-LTS-SP4(2.28):不受影响
3.openEuler-22.03-LTS-SP1(2.34):不受影响
4.openEuler-22.03-LTS-SP3(2.34):不受影响
5.openEuler-22.03-LTS-SP4(2.34):不受影响
6.openEuler-24.03-LTS(2.38):不受影响
7.openEuler-24.03-LTS-Next(2.38):不受影响
8.openEuler-24.03-LTS-SP1(2.38):不受影响

修复是否涉及abi变化(是/否)：
  1.master(2.38):否
2.openEuler-20.03-LTS-SP4(2.28):否
3.openEuler-22.03-LTS-SP1(2.34):否
4.openEuler-22.03-LTS-SP3(2.34):否
5.openEuler-22.03-LTS-SP4(2.34):否
6.openEuler-24.03-LTS(2.38):否
7.openEuler-24.03-LTS-Next(2.38):否
8.openEuler-24.03-LTS-SP1(2.38):否

原因说明：
  1.master(2.38):不受影响-漏洞代码不存在
2.openEuler-20.03-LTS-SP4(2.28):不受影响-漏洞代码不存在
3.openEuler-22.03-LTS-SP1(2.34):不受影响-漏洞代码不存在
4.openEuler-22.03-LTS-SP3(2.34):不受影响-漏洞代码不存在
5.openEuler-22.03-LTS-SP4(2.34):不受影响-漏洞代码不存在
6.openEuler-24.03-LTS(2.38):不受影响-漏洞代码不存在
7.openEuler-24.03-LTS-Next(2.38):不受影响-漏洞代码不存在
8.openEuler-24.03-LTS-SP1(2.38):不受影响-漏洞代码不存在

src-openEuler/glibc
关闭

内容风险标识

评论 (6)

src-openEuler/glibc关闭 .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2024-12455

评论 (6)

搜索帮助

src-openEuler/glibc
关闭