Во время построения цепочки объем выполняемой работы не ограничивается должным образом, если в VerifyOptions.Intermediates передается большое количество промежуточных сертификатов, что может привести к отказу в обслуживании. Это затрагивает как непосредственных пользователей crypto/x509, так и пользователей crypto/tls.
Показать оригинальное описание (EN)
During chain building, the amount of work that is done is not correctly limited when a large number of intermediate certificates are passed in VerifyOptions.Intermediates, which can lead to a denial of service. This affects both direct users of crypto/x509 and users of crypto/tls.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
|
— |
1.25.9
|
|
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
|
1.26.0
|
1.26.2
|