PT-2021-22374 · Octorpki+1 · Octorpki+1
Haynesplspublished
·
Publicado
2021-11-10
·
Atualizado
2024-08-21
·
CVE-2021-3909
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
OctoRPKI (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que ocorra um ataque DOS do tipo Slowloris, fazendo com que o OctoRPKI fique esperando indefinidamente. Isso ocorre porque o OctoRPKI não limita a duração de uma conexão. Especificamente, o repositório para o qual o OctoRPKI envia solicitações HTTP manterá a conexão aberta por um dia antes de retornar uma resposta, mas continua enviando novos bytes aos poucos para manter a conexão ativa. Isso pode fazer com que o OctoRPKI fique travado indefinidamente.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Octorpki