Informazioni sul CVE-2024-23452
Apache bRPC: HTTP request smuggling vulnerability
CWE ID: CWE-444
Base Score (CVSS): N/A
CVE: CVE-2024-23452
Descrizione: Richiesta vulnerabilità di smuggling nella vulnerabilità HTTP del server in Apache bRPC 0.9.5~1.7.0 su tutte le piattaforme consente a un attaccante di smuggiare richieste. Causa della vulnerabilità: Il parser http_parser non si conforma alla specifica RFC-7230 HTTP 1.1. Scenario di attacco: Se un messaggio riceve sia un header di Transfer-Encoding e un header di Content-Length, tale messaggio potrebbe indicare un tentativo di eseguire smuggling di richiesta o splitting di risposta. Un particolare scenario di attacco è che un bRPC server backend riceva richieste in una connessione persistente da un server frontend che utilizza TE per parsare la richiesta con la logica che ‘chunk’ è contenuto nel TE field. In questo caso, un attaccante può smuggiare una richiesta nella connessione al backend server. Soluzione: Puoi scegliere una delle seguenti soluzioni: 1. Aggiorna bRPC alla versione 1.8.0, che risolve questo problema. Link di download: https://github.com/apache/brpc/releases/tag/1.8.0 2. Applica questa patch: https://github.com/apache/brpc/pull/2518
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/apache/brpc/releases/tag/1.8.0
- https://github.com/apache/brpc/pull/2518
- https://lists.apache.org/thread/kkvdpwyr2s2yt9qvvxfdzon012898vxd
- http://www.openwall.com/lists/oss-security/2024/02/08/1
Prodotti interessati
- Apache Software Foundation – Apache bRPC
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache bRPC
Anno: 2024
CWE: CWE-444
CVSS: 0.0