Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-41724

Опубликовано: 28 фев. 2023
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Уязвимость паники в модулях "crypto/tls" из-за обработки больших записей TLS handshake

Описание

Большие записи TLS handshake вызывают аварийное завершение работы в модулях crypto/tls. Клиенты и серверы TLS 1.3, а также клиенты TLS 1.2, которые явно включают возобновление сессий, и серверы TLS 1.3, запрашивающие клиентские сертификаты, испытывают проблемы при обработке таких записей, что приводит к их аварийному завершению работы.

Затронутые версии ПО

  • TLS 1.3 клиенты
  • TLS 1.2 клиенты с включенной функцией возобновления сессии (установка Config.ClientSessionCache в ненулевое значение)
  • TLS 1.3 серверы, запрашивающие клиентские сертификаты (Config.ClientAuth >= RequestClientCert)

Тип уязвимости

Паника

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.19.6 (исключая)
cpe:2.3:a:golang:go:1.20.0:-:*:*:*:*:*:*
cpe:2.3:a:golang:go:1.20.0:rc1:*:*:*:*:*:*
cpe:2.3:a:golang:go:1.20.0:rc2:*:*:*:*:*:*
cpe:2.3:a:golang:go:1.20.0:rc3:*:*:*:*:*:*

EPSS

Процентиль: 2%
0.00016
Низкий

7.5 High

CVSS3

Дефекты

CWE-400

Связанные уязвимости

ubuntu логотип

CVE-2022-41724

CVSS3: 7.5
ubuntu
больше 2 лет назад

Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).

redhat логотип

CVE-2022-41724

CVSS3: 7.5
redhat
больше 2 лет назад

Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).

debian логотип

CVE-2022-41724

CVSS3: 7.5
debian
больше 2 лет назад

Large handshake records may cause panics in crypto/tls. Both clients a ...

github логотип

GHSA-89mw-w342-mqrr

CVSS3: 7.5
github
больше 2 лет назад

Large handshake records may cause panics in crypto/tls. Both clients and servers may send large TLS handshake records which cause servers and clients, respectively, to panic when attempting to construct responses. This affects all TLS 1.3 clients, TLS 1.2 clients which explicitly enable session resumption (by setting Config.ClientSessionCache to a non-nil value), and TLS 1.3 servers which request client certificates (by setting Config.ClientAuth >= RequestClientCert).

fstec логотип

BDU:2024-03152

CVSS3: 7.5
fstec
больше 2 лет назад

Уязвимость пакета crypto/tls языка программирования Golang, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 2%
0.00016
Низкий

7.5 High

CVSS3

Дефекты

CWE-400