CVE-2021-44716

Опубликовано: 01 янв. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Уязвимость неконтролируемого потребления памяти в кэше канонизации заголовков через HTTP/2 запросы в net/http в Go

Описание

Библиотека net/http в Go до версий 1.16.12 и 1.17.x до 1.17.5 позволяет злоумышленнику вызвать неконтролируемое потребление памяти в кэше канонизации заголовков при использовании HTTP/2 запросов.

Затронутые версии ПО

Go версии до 1.16.12
Go версии 1.17.x до 1.17.5

Тип уязвимости

Неконтролируемое потребление памяти

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-744259.pdf
https://groups.google.com/g/golang-announce/c/hcmEScgc00k
Mailing List
Patch
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2022/01/msg00016.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/01/msg00017.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.gentoo.org/glsa/202208-02
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220121-0002/
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-744259.pdf
https://groups.google.com/g/golang-announce/c/hcmEScgc00k
Mailing List
Patch
Vendor Advisory
https://lists.debian.org/debian-lts-announce/2022/01/msg00016.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/01/msg00017.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.gentoo.org/glsa/202208-02
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220121-0002/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.16.12 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.17.0 (включая) до 1.17.5 (исключая)

Конфигурация 2

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:a:netapp:cloud_insights_telegraf:-:*:*:*:*:*:*:*

EPSS

Процентиль: 27%

0.00095

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-400

Связанные уязвимости

CVE-2021-44716

CVSS3: 7.5

ubuntu

около 4 лет назад

net/http in Go before 1.16.12 and 1.17.x before 1.17.5 allows uncontrolled memory consumption in the header canonicalization cache via HTTP/2 requests.

CVE-2021-44716

CVSS3: 7.5

redhat

около 4 лет назад

net/http in Go before 1.16.12 and 1.17.x before 1.17.5 allows uncontrolled memory consumption in the header canonicalization cache via HTTP/2 requests.

CVE-2021-44716

CVSS3: 7.5

msrc

около 4 лет назад

Описание отсутствует

CVE-2021-44716

CVSS3: 7.5

debian

около 4 лет назад

net/http in Go before 1.16.12 and 1.17.x before 1.17.5 allows uncontro ...

RLSA-2022:0001

rocky

около 4 лет назад

Important: grafana security update

EPSS

Процентиль: 27%

0.00095

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-400