PT-2020-13729 · Mqtt · Mqtt
Publicado
2020-06-04
·
Atualizado
2020-06-10
·
CVE-2020-13849
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Protocolo MQTT versão 3.1.1
Descrição
A vulnerabilidade permite que invasores remotos provoquem uma negação de serviço, resultando na perda da capacidade de estabelecer novas conexões. Isso é demonstrado pelo SlowITe, que explora a exigência de que o servidor defina um valor de tempo limite (timeout) de 1,5 vezes o valor de Keep-Alive especificado pelo cliente.
Recomendações
Para o protocolo MQTT versão 3.1.1, considere implementar medidas para impedir o abuso do valor de Keep-Alive, como limitar o valor máximo de Keep-Alive que pode ser especificado pelos clientes ou implementar limitação de taxa para novas conexões. Como solução temporária, considere restringir a capacidade dos clientes de especificar valores altos de Keep-Alive até que uma solução mais permanente esteja disponível.
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mqtt