Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04111

Опубликовано: 05 мар. 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость функции protojson.Unmarshal() пакета golang-google-protobuf языка программирования Golang связана с бесконечный цикл при анмаршалинге определенных форм JSON. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
АО «ИВК»
The Go Project
ООО «Открытая мобильная платформа»
АО "НППКТ"

Наименование ПО

РЕД ОС
АЛЬТ СП 10
golang-google-protobuf
Аврора Центр
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 1.33.0 (golang-google-protobuf)
до 5.1.0 включительно (Аврора Центр)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,9)

Возможные меры по устранению уязвимости

Для golang-google-protobuf:
https://go-review.googlesource.com/c/protobuf/+/569356
https://pkg.go.dev/vuln/GO-2024-2611
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Для Аврора Центр:
Обновить ППО ""Аврора Центр"" до версии 5.3.0 или выше. В случае невозможности обновления использовать СЗИ нейтрализующие угрозы атак типа ""отказ в обслуживании"" (межсетевые экраны веб-приложений, системы обнаружения вторжений)
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения golang-google-protobuf до версии 1.36.5-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 54%
0.00313
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240522-06

CVSS3: 5.9
redos
почти 2 года назад

Уязвимость golang-google-protobuf

redos логотип

ROS-20240826-13

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости etcd

redos логотип

ROS-20240805-08

CVSS3: 7.5
redos
больше 1 года назад

Множественные уязвимости consul

ubuntu логотип

CVE-2024-24786

CVSS3: 7.5
ubuntu
около 2 лет назад

The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.

redhat логотип

CVE-2024-24786

CVSS3: 5.9
redhat
около 2 лет назад

The protojson.Unmarshal function can enter an infinite loop when unmarshaling certain forms of invalid JSON. This condition can occur when unmarshaling into a message which contains a google.protobuf.Any value, or when the UnmarshalOptions.DiscardUnknown option is set.

EPSS

Процентиль: 54%
0.00313
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2