漏洞详情

包 swift github.com/vapor/vapor (Swift)

受影响版本

= 4.83.2, < 4.84.2

已修复版本 4.84.2

描述 Vapor在解析HTTP 1.x请求时遇到错误，处理方式不正确，因API误用触发了swift-nio中的前提条件失败，导致服务器进程立即终止。

影响 这是一个拒绝服务漏洞，影响所有受影响版本Vapor的用户。由于崩溃是明确的断言失败，因此不存在进程状态损坏的风险，也没有数据泄露或未经授权代码执行的风险。总体影响仅限于可立即恢复的服务中断。

补丁 该问题已在Vapor 4.84.2版本中修复。

临时解决方案 目前未知。

更多信息 如果您对此公告有任何疑问或意见：

• 在Vapor仓库中提出问题
• 在Vapor Discord中询问

致谢 发现此问题的全部功劳归于 @t0rchwo0d，同时感谢其负责任的披露。

参考资料

• GHSA-3mwq-h3g6-ffhm
• https://nvd.nist.gov/vuln/detail/CVE-2023-44386
• vapor/vapor@090464a
• https://github.com/vapor/vapor/releases/tag/4.84.2

安全公告信息

发布者: gwynne (发布至 vapor/vapor) 发布日期: 2023年10月5日

国家漏洞数据库发布: 2023年10月5日 GitHub咨询数据库发布: 2023年10月5日 已审核: 2023年10月5日 最后更新: 2024年2月9日

严重程度: 中等

CVSS总体评分: 5.3 / 10

CVSS v3 基础指标: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 作用范围: 未改变
• 保密性影响: 无
• 完整性影响: 无
• 可用性影响: 低

EPSS分数: 0.052% (第16百分位)

弱点

• 弱点: CWE-231 - 对额外值的处理不当。产品在处理超出预期数量的值时，未能处理或处理不当。

CVE ID: CVE-2023-44386 GHSA ID: GHSA-3mwq-h3g6-ffhm

源代码: vapor/vapor

贡献者

• 修复开发者: gwynne
• 修复审核者: 0xTim
• 报告者: t0rchwo0d