中危 DPDK 存在拒绝服务漏洞

CVE编号

CVE-2022-2132

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-09-01

漏洞描述

DPDK 是一组运行于Intel X86与arm平台上快速处理数据包的开发平台及接口。 DPDK 的漏洞版本中存在拒绝服务漏洞，攻击者可以通过在copy_desc_to_mbuf()方法中传入超过两个描述符的 Vhost 头来造成拒绝服务，从而使服务崩溃。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://bugs.dpdk.org/show_bug.cgi?id=1031
https://bugzilla.redhat.com/show_bug.cgi?id=2099475
https://lists.debian.org/debian-lts-announce/2022/09/msg00000.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	dpdk	data_plane_development_kit	*		Up to (excluding) 19.11
	运行在以下环境
	应用	dpdk	data_plane_development_kit	*	From (including) 20.0	Up to (excluding) 20.11
	运行在以下环境
	应用	dpdk	data_plane_development_kit	*	From (including) 21.0	Up to (excluding) 21.11
	运行在以下环境
	应用	redhat	enterprise_linux_fast_datapath	7.0	-
	运行在以下环境
	应用	redhat	enterprise_linux_fast_datapath	8.0	-
	运行在以下环境
	应用	redhat	enterprise_linux_fast_datapath	9.0	-
	运行在以下环境
	应用	redhat	openshift_container_platform	4.0	-
	运行在以下环境
	应用	redhat	openstack_platform	13.0	-
	运行在以下环境
	应用	redhat	virtualization	4.0	-
	运行在以下环境
	系统	anolis_os_7	dpdk-doc	*		Up to (excluding) 18.11.8-2
	运行在以下环境
	系统	anolis_os_8	dpdk-doc	*		Up to (excluding) 21.11-2
	运行在以下环境
	系统	centos_7	dpdk-doc	*		Up to (excluding) 18.11.8-2.el7_9
	运行在以下环境
	系统	centos_8	dpdk-debugsource	*		Up to (excluding) 21.11-2.el8_7
	运行在以下环境
	系统	debian_10	dpdk	*		Up to (excluding) 18.11.11-1~deb10u2
	运行在以下环境
	系统	debian_11	dpdk	*		Up to (excluding) 20.11.6-1~deb11u1
	运行在以下环境
	系统	debian_12	dpdk	*		Up to (excluding) 22.11.1-2
	运行在以下环境
	系统	debian_sid	dpdk	*		Up to (excluding) 22.11.1-2
	运行在以下环境
	系统	kylinos_aarch64_V10	dpdk	*		Up to (excluding) 19.11-15.p06.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	dpdk	*		Up to (excluding) 19.11-5.p03.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP3	dpdk	*		Up to (excluding) 19.11-15.p06.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP3	dpdk	*		Up to (excluding) 19.11-15.p03.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10	dpdk	*		Up to (excluding) 19.11-15.p06.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	dpdk	*		Up to (excluding) 19.11-5.p03.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP3	dpdk	*		Up to (excluding) 19.11-15.p06.ky10
	运行在以下环境
	系统	opensuse_Leap_15.3	libdpdk-18_11	*		Up to (excluding) 19.11.4-150300.16.1
	运行在以下环境
	系统	opensuse_Leap_15.4	libdpdk-18_11	*		Up to (excluding) 19.11.10-150400.4.7.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 21.11-2.el8_7
	运行在以下环境
	系统	oracle_9	oraclelinux-release	*		Up to (excluding) 21.11.2-1.el9_1
	运行在以下环境
	系统	redhat_7	dpdk-doc	*		Up to (excluding) 18.11.8-2.el7_9
	运行在以下环境
	系统	redhat_8	dpdk-debugsource	*		Up to (excluding) 21.11-2.el8_7
	运行在以下环境
	系统	redhat_9	dpdk-debugsource	*		Up to (excluding) 21.11.2-1.el9_1
	运行在以下环境
系统	suse_12_SP5	dpdk-kmp-default	*		Up to (excluding) 18.11.9-3.24.1
运行在以下环境
系统	ubuntu_18.04	dpdk	*		Up to (excluding) 17.11.10-0ubuntu0.2
运行在以下环境
系统	ubuntu_20.04	dpdk	*		Up to (excluding) 19.11.13-0ubuntu0.20.04.1
运行在以下环境
系统	ubuntu_22.04	dpdk	*		Up to (excluding) 21.11.2-0ubuntu0.22.04.1
运行在以下环境
系统	ubuntu_22.10	dpdk	*		Up to (excluding) 21.11.2-0ubuntu1

阿里云评分 6.6

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 无需权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

- avd.aliyun.com