Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07322

Опубликовано: 28 фев. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость декодера HPACK программирования Golang связана с неконтролируемым потребление ресурсов . Эксплуатация уязвимости может позволить нарушителю, действующему локально, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project
The Go Project
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
Red Hat Quay
JBoss A-MQ
РЕД ОС
Red Hat Openshift Data Foundation
Red Hat Advanced Cluster Management for Kubernetes
Red Hat OpenShift Container Platform
Red Hat Satellite
Red Hat Web Terminal
Node Maintenance Operator
Fedora
OpenShift Developer Tools and Services
Red Hat Ceph Storage
Go
Red Hat OpenShift on AWS
Migration Toolkit for Applications
Red Hat Ansible Automation Platform
Red Hat Migration Toolkit for Containers
OpenShift Dev Spaces
Red Hat Advanced Cluster Security
Self Node Remediation
hpack
http2
Red Hat OpenShift distributed tracing
Openshift Service Mesh
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
3 (Red Hat Quay)
7 (JBoss A-MQ)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
4 (Red Hat Openshift Data Foundation)
2 (Red Hat Advanced Cluster Management for Kubernetes)
4 (Red Hat OpenShift Container Platform)
6 (Red Hat Satellite)
9 (Red Hat Enterprise Linux)
- (Red Hat Web Terminal)
- (Node Maintenance Operator)
37 (Fedora)
- (OpenShift Developer Tools and Services)
5 (Red Hat Ceph Storage)
38 (Fedora)
до 1.19.6 (Go)
1.20.0 (Go)
- (Red Hat OpenShift on AWS)
6 (Migration Toolkit for Applications)
2 (Red Hat Ansible Automation Platform)
1.7 (Red Hat Migration Toolkit for Containers)
4.13 (Red Hat OpenShift Container Platform)
- (OpenShift Dev Spaces)
3 (Red Hat Advanced Cluster Security)
- (Self Node Remediation)
до 0.7.0 (hpack)
до 0.7.0 (http2)
- (Red Hat OpenShift distributed tracing)
2.1 (Openshift Service Mesh)
до 2.11 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 37
Fedora Project Fedora 38
АО "НППКТ" ОСОН ОСнова Оnyx до 2.11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для golang:
https://go.dev/cl/468135
https://go.dev/cl/468295
https://go.dev/issue/57855
https://groups.google.com/g/golang-announce/c/V0aBFqaFs_E
https://pkg.go.dev/vuln/GO-2023-1571
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/4MA5XS5DAOJ5PKKNG5TUXKPQOFHT5VBC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGW7GE2Z32ZT47UFAQFDRQE33B7Q7LMT/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RLBQ3A7ROLEQXQLXFDLNJ7MYPKG5GULE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XX3IMUTZKRQ73PBZM4E2JP4BKYH4C6XE/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-41723
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-41723
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx (2.11):
Обновление программного обеспечения golang-golang-x-net до версии 1:0.7.0+dfsg-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00229
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240418-06

CVSS3: 9.8
redos
больше 1 года назад

Множественные уязвимости buildah

ubuntu логотип

CVE-2022-41723

CVSS3: 7.5
ubuntu
больше 2 лет назад

A maliciously crafted HTTP/2 stream could cause excessive CPU consumption in the HPACK decoder, sufficient to cause a denial of service from a small number of small requests.

redhat логотип

CVE-2022-41723

CVSS3: 7.5
redhat
больше 2 лет назад

A maliciously crafted HTTP/2 stream could cause excessive CPU consumption in the HPACK decoder, sufficient to cause a denial of service from a small number of small requests.

nvd логотип

CVE-2022-41723

CVSS3: 7.5
nvd
больше 2 лет назад

A maliciously crafted HTTP/2 stream could cause excessive CPU consumption in the HPACK decoder, sufficient to cause a denial of service from a small number of small requests.

msrc логотип

CVE-2022-41723

CVSS3: 7.5
msrc
6 месяцев назад

Описание отсутствует

EPSS

Процентиль: 46%
0.00229
Низкий

7.5 High

CVSS3

7.8 High

CVSS2