漏洞类型	内存泄漏	发现时间	2023-11-10	漏洞等级	中危
MPS编号	MPS-5zl0-enty	CVE编号	CVE-2023-5954	漏洞影响广度	广

目录隐藏

2.1 OSCS 平台影响范围和处置方案

3 排查方式

漏洞危害

OSCS 描述

HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具
在受影响版本中，触发策略检查的 HashiCorp Vault 和 Vault Enterprise 入站客户端请求可能导致无限制地消耗内存。攻击者可以向Vault服务器发送大量的入站客户端请求，造成拒绝服务攻击。
参考链接：https://www.oscs1024.com/hd/MPS-5zl0-enty

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
github.com/hashicorp/vault (-∞, 1.13.10)	更新	将组件 github.com/hashicorp/vault 升级到 1.13.10 或更高版本
github.com/hashicorp/vault [1.14.0, 1.14.6)	更新	将组件 github.com/hashicorp/vault 升级到 1.14.6 或更高版本
github.com/hashicorp/vault [1.15.0, 1.15.2)	更新	将组件 github.com/hashicorp/vault 升级到 1.15.2 或更高版本
参考链接：https://www.oscs1024.com/hd/MPS-5zl0-enty

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5zl0-enty

https://github.com/advisories/GHSA-4qhc-v8r6-8vwm

https://nvd.nist.gov/vuln/detail/CVE-2023-5954

https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

漏洞危害

影响范围及处置方案

OSCS 平台影响范围和处置方案

排查方式

相关推荐

Telegram Windows客户端可执行文件限制不当RCE漏洞 (MPS-38wf-ilyv)

Apache OFBiz 路径遍历漏洞 (CVE-2024-36104)

Cacti<1.2.25 reports_user.php SQL注入漏洞 (CVE-2023-39358)

Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

Apache Airflow 配置文件敏感信息泄漏 （CVE-2023-35005）

Apache Airflow 配置文件敏感信息泄漏（CVE-2023-35005）