Apache bRPC 存在http请求走私风险 (CVE-2024-23452)

漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞等级 中危
MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 漏洞影响广度 一般

漏洞危害

OSCS 描述
Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。
Apache bRPC 0.9.5至1.7.0版本中由于使用 http_parser 库不符合RFC-7230 HTTP 1.1 规范,当 bRPC 后端的 http 服务器通过持久话连接接收特定前端服务器的请求(需要前端服务器使用 TE 解析http请求),攻击者可发送包含恶意 Transfer-Encoding 和 Content-Length 标头的 http 请求进行请求走私,从而窃取用户凭据等敏感信息。
参考链接:https://www.oscs1024.com/hd/MPS-2glc-5ao0

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
brpc [0.9.5, 1.8.0) 升级 升级brpc到 1.8.0 或更高版本
参考链接:https://www.oscs1024.com/hd/MPS-2glc-5ao0

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2glc-5ao0

https://nvd.nist.gov/vuln/detail/CVE-2024-23452

https://github.com/apache/brpc/commit/ef4ddc644f8f4bf6da1e2a81e763d8e913c340bd

https://lists.apache.org/thread/kkvdpwyr2s2yt9qvvxfdzon012898vxd

(0)
上一篇 2024年2月8日 下午12:00
下一篇 2024年2月12日 上午12:00

相关推荐

  • Kubernetes Windows节点kubernetes-csi-proxy提权漏洞 (CVE-2023-3893)

    漏洞类型 OS命令注入 发现时间 2023-08-24 漏洞等级 高危 MPS编号 MPS-t6rg-974f CVE编号 CVE-2023-3893 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是开源的容器管理平台,kubernetes-csi-proxy是用于Windows中的CSI(容器存储接口)代理套件。在受影响版本中,由于程序将…

    2023年8月25日
    0
  • Jumpserver<3.10.7 Ansible Playbook远程代码执行漏洞 (CVE-2024-29201)

    漏洞类型 暴露危险的方法或函数 发现时间 2024-03-29 漏洞等级 高危 MPS编号 MPS-tbky-zx14 CVE编号 CVE-2024-29201 漏洞影响广度 一般 漏洞危害 OSCS 描述 JumpServer 是开源的堡垒机和运维安全审计系统。 JumpServer 3.0版本开始引入批量下发作业功能,在其3.10.7之前版本中,攻击者可…

    2024年3月30日
    0
  • Apache OFBiz 未授权远程代码执行漏洞 (CVE-2023-51467)

    漏洞类型 凭据管理错误 发现时间 2023-12-26 漏洞等级 严重 MPS编号 MPS-qkfi-ya3x CVE编号 CVE-2023-51467 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。OFBiz支持运行 Grovvy代码来编程导出数据。 由于LoginWorker.java中使用if (…

    2023年12月27日
    0
  • Splunk Enterprise for Windows 反序列化漏洞 (CVE-2024-23678)

    漏洞类型 输入验证不恰当 发现时间 2024-01-23 漏洞等级 高危 MPS编号 MPS-qxjm-zyb4 CVE编号 CVE-2024-23678 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一个机器数据引擎,用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk Enterprise for Win…

    2024年1月24日
    0
  • Spring Security AuthenticatedVoter 方法验证不当漏洞 (CVE-2024-22257)

    漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

    2024年3月25日
    0