| Vulnerability Name: | CVE-2021-4209 (CCN-232960) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2022-01-24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2022-01-24 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2022-10-27 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | A NULL pointer dereference flaw was found in GnuTLS. As Nettle's hash update functions internally call memcpy, providing zero-length input may cause undefined behavior. This flaw leads to a denial of service after authentication in rare circumstances. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 6.5 Medium (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H) 5.7 Medium (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)
5.7 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 6.8 Medium (CCN CVSS v2 Vector: AV:N/AC:L/Au:S/C:N/I:N/A:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-476 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Denial of Service | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2021-4209 Source: MISC Type: Third Party Advisory https://access.redhat.com/security/cve/CVE-2021-4209 Source: CCN Type: Red Hat Bugzilla - Bug 2044156 CVE-2021-4209 GnuTLS: Null pointer dereference in MD_UPDATE Source: MISC Type: Issue Tracking, Third Party Advisory https://bugzilla.redhat.com/show_bug.cgi?id=2044156 Source: XF Type: UNKNOWN gnutls-cve20214209-dos(232960) Source: MISC Type: Patch, Third Party Advisory https://gitlab.com/gnutls/gnutls/-/commit/3db352734472d851318944db13be73da61300568 Source: MISC Type: Third Party Advisory https://gitlab.com/gnutls/gnutls/-/issues/1306 Source: CCN Type: GnuTLS GIT Repository wrap_nettle_hash_fast: avoid calling _update with zero-length input Source: MISC Type: Third Party Advisory https://gitlab.com/gnutls/gnutls/-/merge_requests/1503 Source: CONFIRM Type: Third Party Advisory https://security.netapp.com/advisory/ntap-20220915-0005/ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration 2: Configuration 3: Configuration 4:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||