Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01775

Опубликовано: 22 июл. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость брокера сообщений Mosquitto связана с некорректной обработкой пакета CONNECT без will topic, will message при наличии will flag, will property. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Eclipse Foundation
АО «НТЦ ИТ РОСА»

Наименование ПО

Debian GNU/Linux
Eclipse Mosquitto
РОСА ХРОМ

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
от 1.6 до 2.0.10 включительно (Eclipse Mosquitto)
12.4 (РОСА ХРОМ)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Для Mosquitto:
использование рекомендаций производителя: https://mosquitto.org/blog/2021/06/version-2-0-11-released/
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-34431
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2224

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.0037
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-34431

CVSS3: 6.5
ubuntu
больше 4 лет назад

In Eclipse Mosquitto version 1.6 to 2.0.10, if an authenticated client that had connected with MQTT v5 sent a crafted CONNECT message to the broker a memory leak would occur, which could be used to provide a DoS attack against the broker.

nvd логотип

CVE-2021-34431

CVSS3: 6.5
nvd
больше 4 лет назад

In Eclipse Mosquitto version 1.6 to 2.0.10, if an authenticated client that had connected with MQTT v5 sent a crafted CONNECT message to the broker a memory leak would occur, which could be used to provide a DoS attack against the broker.

debian логотип

CVE-2021-34431

CVSS3: 6.5
debian
больше 4 лет назад

In Eclipse Mosquitto version 1.6 to 2.0.10, if an authenticated client ...

github логотип

GHSA-j546-3m5x-fx7p

github
больше 3 лет назад

In Eclipse Mosquitto version 1.6 to 2.0.10, if an authenticated client that had connected with MQTT v5 sent a crafted CONNECT message to the broker a memory leak would occur, which could be used to provide a DoS attack against the broker.

EPSS

Процентиль: 58%
0.0037
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2