PT-2020-6893 · Qt Company+5 · Qt+5
Franck Dude
·
Publicado
2018-09-23
·
Atualizado
2021-06-23
·
CVE-2018-21035
CVSS v3.1
8.6
Alta
| Vetor | AC:L/AV:N/A:H/C:N/I:N/PR:N/S:C/UI:N |
Nome do software vulnerável e versões afetadas
Versões do Qt até a 5.14.1
Descrição
O problema está relacionado ao componente WebSocket da estrutura de desenvolvimento de software multiplataforma Qt, que está associado à alocação ilimitada de recursos. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço, especificamente por meio do consumo de memória. A implementação do WebSocket aceita até 2 GB para quadros e 2 GB para mensagens, e não é possível configurar limites menores, facilitando que invasores causem uma negação de serviço.
Recomendações
Para as versões do Qt até a 5.14.1, considere configurar ou implementar limites adicionais na alocação de recursos para o componente WebSocket a fim de evitar o consumo excessivo de memória até que um patch esteja disponível. Como solução temporária, restrinja o acesso à implementação do WebSocket para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Qt
Red Hat
Rocky Linux