漏洞详情
CVE-2022-24777
漏洞名称:通过可达断言实现的拒绝服务
严重级别:高危
发布时间:2022年3月23日 更新日期:2024年2月9日 涉及仓库:grpc/grpc-swift
受影响版本:< 1.7.2 已修复版本:1.7.2
漏洞描述
gRPC-Swift服务器存在一个可通过可达断言触发的拒绝服务攻击漏洞。该漏洞源于处理GOAWAY帧时的逻辑错误。
攻击成本极低:构造和发送所需的帧序列所需资源非常少。对可用性的影响很高,因为服务器会崩溃,丢弃所有正在进行的连接和请求。
该问题是通过自动化模糊测试发现的,并通过修复相关的状态处理代码得以解决。
参考信息
- GHSA-r6ww-5963-7r95
- https://nvd.nist.gov/vuln/detail/CVE-2022-24777
- grpc/grpc-swift@858f977
漏洞发布信息
- glbrntt 发布于 grpc/grpc-swift:2022年3月23日
- 国家漏洞数据库发布:2022年3月25日
- GitHub咨询数据库发布:2023年6月9日
- 审核时间:2023年6月9日
- 最后更新:2024年2月9日
严重性评分
CVSS总体评分:7.5(高危)
CVSS v3基本指标:
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 影响范围:未改变
- 机密性影响:无
- 完整性影响:无
- 可用性影响:高
CVSS向量字符串:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
EPSS评分:0.334%(第56百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。
弱点分类
弱点:CWE-617 可达断言 产品包含一个assert()或类似语句,攻击者可触发该语句,导致应用程序退出或其他比必要情况更严重的行为。
标识符
- CVE ID:CVE-2022-24777
- GHSA ID:GHSA-r6ww-5963-7r95
源代码:grpc/grpc-swift
此公告已被编辑。请查看历史记录。