Отсутствие обработки ошибок на TCP-сервере в gRPC Google, начиная с версии 1.23 на posix-совместимых платформах (например, Linux), позволяет злоумышленнику вызвать отказ в обслуживании, инициировав значительное количество соединений с сервером. Обратите внимание, что это затрагивает gRPC C++ Python и Ruby, но НЕ затрагивает gRPC Java и Go.
Показать оригинальное описание (EN)
Lack of error handling in the TCP server in Google's gRPC starting version 1.23 on posix-compatible platforms (ex. Linux) allows an attacker to cause a denial of service by initiating a significant number of connections with the server. Note that gRPC C++ Python, and Ruby are affected, but gRPC Java, and Go are NOT affected.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Grpc Grpc
cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:*
|
1.23.0
|
1.53.2
|
|
Grpc Grpc
cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:*
|
1.54.0
|
1.54.3
|
|
Grpc Grpc
cpe:2.3:a:grpc:grpc:*:*:*:*:*:-:*:*
|
1.55.0
|
1.55.3
|
|
Grpc Grpc
cpe:2.3:a:grpc:grpc:1.56.0:*:*:*:*:-:*:*
|
— | — |
Ссылки 5
https://github.com/grpc/grpc/pull/33656
cve-coordination@google.com
https://github.com/grpc/grpc/pull/33667
cve-coordination@google.com
https://github.com/grpc/grpc/pull/33669
cve-coordination@google.com
https://github.com/grpc/grpc/pull/33670
cve-coordination@google.com
https://github.com/grpc/grpc/pull/33672
cve-coordination@google.com