Informazioni sul CVE-2024-5971
Undertow: response write hangs in case of java 17 tlsv1.3 newsessionticket
CWE ID: CWE-674
Base Score (CVSS): N/A
CVE: CVE-2024-5971
Descrizione: A vulnerability was found in Undertow, where the chunked response hangs after the body was flushed. The response headers and body were sent but the client would continue waiting as Undertow does not send the expected 0\r\n termination of the chunked response. This results in uncontrolled resource consumption, leaving the server side to a denial of service attack. This happens only with Java 17 TLSv1.3 scenarios.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/errata/RHSA-2024:4392
- https://access.redhat.com/errata/RHSA-2024:4884
- https://access.redhat.com/errata/RHSA-2024:5143
- https://access.redhat.com/errata/RHSA-2024:5144
- https://access.redhat.com/errata/RHSA-2024:5145
- https://access.redhat.com/errata/RHSA-2024:5147
- https://access.redhat.com/errata/RHSA-2024:6508
- https://access.redhat.com/errata/RHSA-2024:6883
- https://access.redhat.com/security/cve/CVE-2024-5971
- https://bugzilla.redhat.com/show_bug.cgi?id=2292211
Prodotti interessati
- Sconosciuto – Sconosciuto
- Red Hat – Red Hat build of Apache Camel 3.20.7 for Spring Boot
- Red Hat – Red Hat build of Apache Camel 4.4.1 for Spring Boot
- Red Hat – Red Hat build of Apache Camel 4.4.2 for Spring Boot
- Red Hat – Red Hat JBoss Enterprise Application Platform 7
- Red Hat – Red Hat JBoss Enterprise Application Platform 7.4 for RHEL 8
- Red Hat – Red Hat JBoss Enterprise Application Platform 7.4 for RHEL 9
- Red Hat – Red Hat JBoss Enterprise Application Platform 7.4 on RHEL 7
- Red Hat – Red Hat JBoss Enterprise Application Platform 8
- Red Hat – Red Hat build of Apache Camel for Spring Boot 3
- Red Hat – Red Hat build of Apache Camel – HawtIO 4
- Red Hat – Red Hat Build of Keycloak
- Red Hat – Red Hat build of Quarkus
- Red Hat – Red Hat Data Grid 8
- Red Hat – Red Hat Fuse 7
- Red Hat – Red Hat Integration Camel K 1
- Red Hat – Red Hat JBoss Data Grid 7
- Red Hat – Red Hat JBoss Enterprise Application Platform Expansion Pack
- Red Hat – Red Hat Process Automation 7
- Red Hat – Red Hat Single Sign-On 7
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat build of Quarkus
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Data Grid 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform Expansion Pack
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Process Automation 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Single Sign-On 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Data Grid 8
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 7.4 for RHEL 8
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 7.4 for RHEL 9
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 7.4 on RHEL 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Fuse 7
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat JBoss Enterprise Application Platform 8
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Apache Camel for Spring Boot 3
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Integration Camel K 1
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Apache Camel – HawtIO 4
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Build of Keycloak
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Apache Camel 4.4.1 for Spring Boot
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Apache Camel 3.20.7 for Spring Boot
Anno: 2024
CWE: CWE-674
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat build of Apache Camel 4.4.2 for Spring Boot
Anno: 2024
CWE: CWE-674
CVSS: 0.0