CVE-2022-41717

Опубликовано: 08 дек. 2022

Источник: nvd

CVSS3: 5.3

EPSS Низкий

Уязвимость в Go HTTP/2 сервере, позволяющая исчерпание памяти через крупные заголовки

Описание

В сервере на Go, обрабатывающем HTTP/2-запросы, обнаружена уязвимость, позволяющая злоумышленнику вызвать чрезмерный рост использования памяти. Соединения HTTP/2 содержат кеш заголовков, отправленных клиентом. Хотя общее количество записей в этом кеше ограничено, отправка очень крупных ключей может заставить сервер выделять до 64 МБ памяти на каждое открытое соединение.

Тип уязвимости

Неконтролируемый рост памяти

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.18.9 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.19.0 (включая) до 1.19.4 (исключая)

cpe:2.3:a:golang:http2:*:*:*:*:*:go:*:*

Версия до 0.4.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*

EPSS

Процентиль: 61%

0.00413

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-770

Связанные уязвимости

CVE-2022-41717

CVSS3: 5.3

ubuntu

больше 2 лет назад

An attacker can cause excessive memory growth in a Go server accepting HTTP/2 requests. HTTP/2 server connections contain a cache of HTTP header keys sent by the client. While the total number of entries in this cache is capped, an attacker sending very large keys can cause the server to allocate approximately 64 MiB per open connection.

CVE-2022-41717

CVSS3: 5.3

redhat

больше 2 лет назад

CVE-2022-41717

CVSS3: 5.3

msrc

больше 2 лет назад

Описание отсутствует

CVE-2022-41717

CVSS3: 5.3

debian

больше 2 лет назад

An attacker can cause excessive memory growth in a Go server accepting ...

GHSA-xrjj-mj9h-534m

CVSS3: 5.3

github

больше 2 лет назад

golang.org/x/net/http2 vulnerable to possible excessive memory growth

EPSS

Процентиль: 61%

0.00413

Низкий

5.3 Medium

CVSS3

Дефекты

CWE-770