CVE-2021-22569
Denial of Service of protobuf-java parsing procedure
Em resumo
Uma mensagem protobuf maliciosa consegue travar o analisador Java por vários minutos, forçando a criação de muitos objetos temporários repetidamente. Isso permite que atacantes desabilitem serviços que processam dados protobuf de origem desconhecida.
Detalhe técnico
CVE-2021-22569 explora o tratamento inadequado de campos UnknownFieldSet intercalados no protobuf-java, onde cargas úteis elaboradas provocam pausas excessivas de coleta de lixo através de alocação rápida de objetos. O vetor de ataque requer o processamento de mensagens protobuf serializadas não confiáveis, resultando em negação de serviço sem exigir autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue in protobuf-java allowed the interleaving of com.google.protobuf.UnknownFieldSet fields in such a way that would be processed out of order. A small malicious payload can occupy the parser for several minutes by creating large numbers of short-lived objects that cause frequent, repeated pauses. We recommend upgrading libraries beyond the vulnerable versions.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
Google LLC · google-protobuf [JRuby Gem]Google LLC · protobuf-javaGoogle LLC · protobuf-kotlinQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=39330https://cloud.google.com/support/bulletins#gcp-2022-001https://lists.debian.org/debian-lts-announce/2023/04/msg00019.htmlhttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttp://www.openwall.com/lists/oss-security/2022/01/12/4http://www.openwall.com/lists/oss-security/2022/01/12/7