PT-2021-17866 · Yubico · Yubihsm Sdk+1
Publicado
2021-04-14
·
Atualizado
2022-02-15
·
CVE-2021-28484
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Yubico yubihsm-connector anteriores à 3.0.1
Versões do YubiHSM SDK anteriores à 2021.04
Descrição:
Foi descoberta uma falha no manipulador do endpoint “/api/connector”. O manipulador não validava o comprimento da solicitação, o que pode levar a uma situação em que o yubihsm-connector fica preso em um loop aguardando que o YubiHSM envie dados, impedindo quaisquer operações adicionais até que o yubihsm-connector seja reiniciado. Um invasor pode enviar 0, 1 ou 2 bytes para acionar essa falha.
Recomendações:
Para versões do Yubico yubihsm-connector anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior para resolver o problema.
Para versões do YubiHSM SDK anteriores à 2021.04, atualize para a versão 2021.04 ou posterior para resolver o problema.
Como solução alternativa temporária, considere reiniciar o serviço yubihsm-connector após detectar o problema para restaurar a funcionalidade.
Correção
Infinite Loop
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yubihsm Sdk
Yubihsm-Connector