One Article Review
| Source |  Vuln GCP |
|---|---|
| Identifiant | 8343150 |
| Date de publication | 2023-06-07 21:21:27 (vue: 2023-06-07 22:06:22) |
| Titre | GCP-2023-010 |
| Texte | Publié: 2023-06-07 Description
Description
Gravité
notes
Google a identifié trois nouvelles vulnérabilités dans l'implémentation GRPC C ++.Ceux-ci seront publiés bientôt publiquement sous le nom de cve-2023-1428 , CVE-2023-32731 et CVE-2023-32732 . En avril, nous avons identifié deux vulnérabilités dans les versions de 1,53 et 1,54.L'un était une vulnérabilité du déni de service dans l'implémentation C ++ de GRPC \\ et l'autre était une vulnérabilité d'exfiltration de données distantes.Ceux-ci ont été fixés en 1,53.1, 1,54,2 et vers des versions ultérieures. Auparavant en mars, nos équipes internes ont découvert une vulnérabilité de déni de service dans la mise en œuvre du C ++ du GRPC \\ tout en effectuant une routine de routineactivités de fuzzing.Il a été trouvé dans la version GRPC 1.52, et a été fixé dans les versions 1.52.2 et 1,53. Que dois-je faire? Assurez-vous que vous utilisez les dernières versions des packages logiciels suivants: GRPC (C ++, Python, Ruby) version 1.52, 1.53 et 1.54 doivent passer à la mise à niveau suivanterejets de correctif;
1.52.2 1.53.1 1.54.2
GRPC (C ++, Python, Ruby) version 1.51 et antérieurs ne sont pas affectés, les utilisateurs avec ces versions ne peuvent donc prendre aucune action Quelles vulnérabilités sont traitées par ces correctifs? Ces correctifs atténuent les vulnérabilités suivantes: 1.53.1, 1.54.2 et les versions ultérieures s'adressent aux abordements.Suivant: La vulnérabilité du déni de service dans l'implémentation GRPC C ++.Des demandes spécialement conçues peuvent entraîner une résiliation de la connexion entre un proxy et un backend.Vulnérabilité d'exfiltration des données à distance: La désynchronisation dans le tableau HPACK en raison des limitations de la taille de l'en-tête peut entraîner des backends proxy qui fuient les données d'en-tête d'autres clients connectés à un proxy. 1.52.2, 1,53, et les versions ultérieures adressées à la question suivante.: Vulnérabilité du déni de service dans l'implémentation C ++ de GRPC \\.L'analyse de certaines demandes spécifiquement formées peut entraîner un accident impactant un serveur. Nous vous recommandons de passer aux dernières versions des packages logiciels suivants comme indiqué ci-dessus.
HIGH (CVE-2023-1428, CVE-2023-32731).Moyen (CVE-2023-32732)
CVE-2023-1428, CVE-2023-32731, cve-023-32732
Published: 2023-06-07Description Description Severity Notes Google identified three new vulnerabilities in the gRPC C ++ implementation. These will be published soon publicly as CVE-2023-1428, CVE-2023-32731 and |
| Envoyé | Oui |
| Condensat | 010 023 07description 1428 2023 32731 32732 above action activities address addressed affected april are backend backends been between c++ can cause clients connected connection crafted crash cve data denial description desynchronisation discovered due earlier ensure exfiltration fixed following following: formed found from fuzzing gcp google grpc has have header high hpack identified impacting implementation internal later latest lead leaking limitations listed march medium mitigate need new not notes one other packages packages: parsing patch patches performing previously proxy publicly published published: python recommend release releases releases; remote requests routine ruby server service severity should size software some soon specially specifically table take teams termination these three two upgrade upgrading users using version versions vulnerabilities vulnerabilities: vulnerability vulnerability: what will within you |
| Tags | Vulnerability |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.