1. 墨知首页
  2. 漏洞

HashiCorp Vault 拒绝服务漏洞 (CVE-2023-5954)

漏洞
漏洞类型 内存泄漏 发现时间 2023-11-10 漏洞等级 中危
MPS编号 MPS-5zl0-enty CVE编号 CVE-2023-5954 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
HashiCorp Vault 是用于秘密管理、加密即服务和特权访问管理的工具
在受影响版本中,触发策略检查的 HashiCorp Vault 和 Vault Enterprise 入站客户端请求可能导致无限制地消耗内存。攻击者可以向Vault服务器发送大量的入站客户端请求,造成拒绝服务攻击。
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
github.com/hashicorp/vault (-∞, 1.13.10) 更新 将组件 github.com/hashicorp/vault 升级到 1.13.10 或更高版本
github.com/hashicorp/vault [1.14.0, 1.14.6) 更新 将组件 github.com/hashicorp/vault 升级到 1.14.6 或更高版本
github.com/hashicorp/vault [1.15.0, 1.15.2) 更新 将组件 github.com/hashicorp/vault 升级到 1.15.2 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-5zl0-enty

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-5zl0-enty

https://github.com/advisories/GHSA-4qhc-v8r6-8vwm

https://nvd.nist.gov/vuln/detail/CVE-2023-5954

https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

(0)
上一篇 2023年11月9日 下午8:00
下一篇 2023年11月10日 下午12:00

相关推荐

  • Apache Derby LDAP 注入漏洞 (CVE-2022-46337) 漏洞

    Apache Derby LDAP 注入漏洞 (CVE-2022-46337)

    漏洞类型 LDAP注入 发现时间 2023-11-20 漏洞等级 中危 MPS编号 MPS-2022-65764 CVE编号 CVE-2022-46337 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Derby 是开源的关系型数据库管理系统。 受影响版本中,由于 LDAPAuthenticationSchemeImpl#getDNFromUI…

    2023年11月21日
    0
  • Reactor Netty HTTP Server 路径穿越漏洞 (CVE-2023-34062) 漏洞

    Reactor Netty HTTP Server 路径穿越漏洞 (CVE-2023-34062)

    漏洞类型 路径遍历 发现时间 2023-11-16 漏洞等级 高危 MPS编号 MPS-4391-uwmo CVE编号 CVE-2023-34062 漏洞影响广度 一般 漏洞危害 OSCS 描述 Netty 是一个用于开发Java网络应用程序的非阻塞 I/O框架,Reactor Netty是基于Netty框架的非阻塞请求客户端与服务端。 Reactor Ne…

    2023年11月17日
    0
  • Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522) 漏洞

    Atlassian Confluence Data Center/Server 模板注入漏洞 (CVE-2023-22522)

    漏洞类型 代码注入 发现时间 2023-12-06 漏洞等级 严重 MPS编号 MPS-2023-0023 CVE编号 CVE-2023-22522 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server 受影…

    2023年12月8日
    0
  • BootCDN 投毒风险 漏洞

    BootCDN 投毒风险

    漏洞类型 内嵌恶意代码 发现时间 2023/6/20 漏洞等级 高危 MPS编号 MPS-zw9i-1xkb CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 BootCDN是免费的前端开源项目 CDN 加速服务,通过同步cdnjs仓库,提供了常用javascript组件的CDN服务。多个开发者发现在特定请求中(如特定Referer及…

    2023年8月30日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257) 漏洞

    Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月19日
    0