PT-2020-6204 · Zeromq+4 · Zeromq+4

Bluca

·

Publicado

2020-09-07

·

Atualizado

2024-06-15

·

CVE-2020-15166

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do ZeroMQ anteriores à 4.3.3
Descrição
O problema está relacionado a um erro no mecanismo de controle de recursos do ZeroMQ, um componente do sistema de mensagens. Isso permite que um invasor remoto provoque uma negação de serviço. Usuários com pontos de extremidade públicos de transporte TCP, mesmo com CURVE/ZAP habilitado, são afetados. Se um soquete TCP bruto for aberto e conectado a um ponto de extremidade totalmente configurado com CURVE/ZAP, clientes legítimos não conseguirão trocar mensagens. Os handshakes são concluídos com sucesso e as mensagens são entregues à biblioteca, mas o aplicativo servidor nunca as recebe.
Recomendações
Para versões do ZeroMQ anteriores à 4.3.3, atualize para a versão 4.3.3 para resolver o problema. Como solução temporária, considere restringir o acesso a pontos finais públicos de transporte TCP para minimizar o risco de exploração. Evite usar soquetes TCP brutos conectados a pontos finais totalmente configurados com CURVE/ZAP até que o problema seja resolvido.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALT-PU-2022-1314
BDU:2021-03549
CVE-2020-15166
DLA-2443-1
DSA-4761-1
GHSA-25WP-CF8G-938M
MGASA-2020-0367
OESA-2024-1133
OPENSUSE-SU-2020:1907-1
OPENSUSE-SU-2020:1910-1
OPENSUSE-SU-2020_1907-1
OPENSUSE-SU-2020_1910-1
OPENSUSE-SU-2024:11540-1
SUSE-FU-2022:0444-1
SUSE-FU-2022:0445-1
SUSE-SU-2020:3264-1
SUSE-SU-2020_3264-1
USN-4920-1

Produtos afetados

Alt Linux
Linuxmint
Suse
Ubuntu
Zeromq