Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08117

Опубликовано: 09 нояб. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость платформ для архивирования корпоративной информации HashiCorp Vault и Vault Enterprise связана с ошибками освобождения памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
Red Hat Inc.
HashiCorp

Наименование ПО

РЕД ОС
Red Hat Openshift Data Foundation
Red Hat OpenShift Container Platform
Vault
Vault Enterprise

Версия ПО

7.3 (РЕД ОС)
4 (Red Hat Openshift Data Foundation)
4 (Red Hat OpenShift Container Platform)
от 1.13.7 до 1.13.10 (Vault)
от 1.14.3 до 1.14.6 (Vault)
от 1.15.0 до 1.15.2 (Vault)
от 1.13.7 до 1.13.10 (Vault Enterprise)
1.14.3 до 1.14.6 (Vault Enterprise)
от 1.15.0 до 1.15.2 (Vault Enterprise)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для програмный продуктов HashiCorp:
https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-5954
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 58%
0.00371
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240805-04

CVSS3: 8.1
redos
11 месяцев назад

Множественные уязвимости vault

redhat логотип

CVE-2023-5954

CVSS3: 5.9
redhat
больше 1 года назад

HashiCorp Vault and Vault Enterprise inbound client requests triggering a policy check can lead to an unbounded consumption of memory. A large number of these requests may lead to denial-of-service. Fixed in Vault 1.15.2, 1.14.6, and 1.13.10.

nvd логотип

CVE-2023-5954

CVSS3: 5.9
nvd
больше 1 года назад

HashiCorp Vault and Vault Enterprise inbound client requests triggering a policy check can lead to an unbounded consumption of memory. A large number of these requests may lead to denial-of-service. Fixed in Vault 1.15.2, 1.14.6, and 1.13.10.

github логотип

GHSA-4qhc-v8r6-8vwm

CVSS3: 7.5
github
больше 1 года назад

HashiCorp Vault Missing Release of Memory after Effective Lifetime vulnerability

EPSS

Процентиль: 58%
0.00371
Низкий

7.5 High

CVSS3

7.8 High

CVSS2