One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8343663 |
| Date de publication | 2023-06-09 11:15:09 (vue: 2023-06-09 13:06:55) |
| Titre | CVE-2023-32731 |
| Texte | Lorsque la pile GRPC HTTP2 a soulevé une erreur de taille de l'en-tête, elle a sauté l'analyse du reste du cadre HPACK.Cela a également fait sauter toutes les mutations de table HPACK, ce qui entraîne une désynchronisation des tables HPACK entre l'expéditeur et le récepteur.S'il est exploité, par exemple, entre un proxy et un backend, cela pourrait conduire à des demandes de proxy interprétées comme contenant des en-têtes de différents clients proxy - conduisant à une fuite d'informations qui peut être utilisée pour l'escalade des privilèges ou l'exfiltration des données.Nous recommandonsMise à niveau au-delà de l'engagement contenu dans & acirc; & nbsp;https://github.com/grpc/grpc/pull/32309 https://github.com/grpc/grpc/pull/32309
When gRPC HTTP2 stack raised a header size exceeded error, it skipped parsing the rest of the HPACK frame. This caused any HPACK table mutations to also be skipped, resulting in a desynchronization of HPACK tables between sender and receiver. If leveraged, say, between a proxy and a backend, this could lead to requests from the proxy being interpreted as containing headers from different proxy clients - leading to an information leak that can be used for privilege escalation or data exfiltration. We recommend upgrading beyond the commit contained in https://github.com/grpc/grpc/pull/32309 https://github.com/grpc/grpc/pull/32309 |
| Envoyé | Oui |
| Condensat | 2023 32731 also any backend being between beyond can caused clients com/grpc/grpc/pull/32309 commit contained containing could cve data desynchronization different error escalation exceeded exfiltration frame from grpc header headers hpack http2 https://github information interpreted inâ lead leading leak leveraged mutations parsing privilege proxy raised receiver recommend requests rest resulting say sender size skipped stack table tables upgrading used when |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.