HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危
MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广

漏洞危害

OSCS 描述
HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具
在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Enterprise 入站客户端请求可能导致无限制地消耗内存。攻击者可以向Vault服务器发送大量的入站客户端请求,造成拒绝服务攻击。
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/hashicorp/vault (-∞, 1.13.10) 更新 将组件 github.com/hashicorp/vault 升级到 1.13.10 或更高版本
github.com/hashicorp/vault [1.14.0, 1.14.6) 更新 将组件 github.com/hashicorp/vault 升级到 1.14.6 或更高版本
github.com/hashicorp/vault [1.15.0, 1.15.2) 更新 将组件 github.com/hashicorp/vault 升级到 1.15.2 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5zl0-enty

https://github.com/advisories/GHSA-4qhc-v8r6-8vwm

https://nvd.nist.gov/vuln/detail/CVE-2023-5954

https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

(0)
上一篇 2023年11月9日 下午8:00
下一篇 2023年11月10日 下午12:00

相关推荐

  • Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

    漏洞类型 输入验证不恰当 发现时间 2024-01-23 漏洞等级 高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk Enterprise for Win…

    2024年1月24日
    0
  • mysql2 readCodeFor 远程代码执行漏洞 (CVE-2024-21508)

    漏洞类型 代码注入 发现时间 2024-04-11 漏洞等级 严重 MPS编号 MPS-3gmx-vbwq CVE编号 CVE-2024-21508 漏洞影响广度 广 漏洞危害 OSCS 描述 mysql2 是一个 Node.js 中用于与 MySQL 数据库进行交互的软件包。 mysql2 软件包中存在远程代码执行漏洞。由于 readCodeFor 函数未…

    漏洞 2024年4月15日
    0
  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0
  • FE业务协作平台存在文件上传漏洞 (MPS-plcb-5td0)

    漏洞类型 任意文件上传 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-plcb-5td0 CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 FE业务协同平台是飞启软件自2004年以来在行业内不断创新和突破的一款基于平台的协同办公软件。 /common/uploadFile.jsp接口存在文件上传漏洞,该系统接口存在任意…

    漏洞 2024年5月17日
    0
  • Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    漏洞类型 反序列化 发现时间 2023-08-29 漏洞等级 高危 MPS编号 MPS-qkdx-17bc CVE编号 CVE-2023-40195 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。…

    2023年8月31日
    0