PT-2020-16663 · Eclipse · Eclipse Hono
Kai Hudalla
·
Publicado
2020-11-13
·
Atualizado
2022-02-10
·
CVE-2020-27217
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.3.0 a 1.4.0 do Eclipse Hono
Descrição
O adaptador de protocolo AMQP no Eclipse Hono não verifica o tamanho das mensagens AMQP recebidas dos dispositivos. Um dispositivo pode enviar mensagens maiores do que o tamanho máximo de mensagem indicado durante o estabelecimento da conexão, o que poderia ser explorado por um cliente AMQP 1.0 personalizado para enviar uma mensagem de tamanho ilimitado ao adaptador, fazendo com que este falhe com uma exceção de falta de memória.
Recomendações
Para as versões 1.3.0 e 1.4.0 do Eclipse Hono, considere implementar a verificação do tamanho das mensagens AMQP recebidas dos dispositivos para evitar possíveis exceções de falta de memória. Como solução temporária, restrinja o tamanho máximo permitido das mensagens para impedir que mensagens de tamanho ilimitado sejam enviadas ao adaptador. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eclipse Hono