PT-2022-6735 · Google+8 · Protocol Buffers+8
Publicado
2022-09-13
·
Atualizado
2026-02-18
·
CVE-2022-1941
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do ProtocolBuffers anteriores e incluindo as versões 3.16.1, 3.17.3, 3.18.2, 3.19.4, 3.20.1 e 3.21.5 para o protobuf-cpp
Versões do ProtocolBuffers anteriores e incluindo 3.16.1, 3.17.3, 3.18.2, 3.19.4, 3.20.1 e 4.21.5 para protobuf-python
Descrição
Uma vulnerabilidade de análise do tipo MessageSet no ProtocolBuffers pode levar a falhas por falta de memória. Uma mensagem especialmente criada com múltiplos pares chave-valor por elemento gera problemas de análise e pode levar a uma negação de serviço (DoS) contra serviços que recebem entradas não sanitizadas. Esse problema pode ser acionado por uma pequena carga maliciosa, fazendo com que o serviço em execução aloque mais de 3 GB de RAM.
Recomendações
Para versões anteriores à 3.18.3, atualize para a versão 3.18.3 ou posterior tanto para o protobuf-cpp quanto para o protobuf-python.
Para versões anteriores à 3.19.5, atualize para a versão 3.19.5 ou posterior tanto para o protobuf-cpp quanto para o protobuf-python.
Para versões anteriores à 3.20.2, atualize para a versão 3.20.2 ou posterior tanto para o protobuf-cpp quanto para o protobuf-python.
Para versões anteriores à 3.21.6, atualize para a versão 3.21.6 ou posterior para o protobuf-cpp.
Para versões anteriores à 4.21.6, atualize para a versão 4.21.6 ou posterior para o protobuf-python.
Como solução alternativa temporária, considere restringir o uso do tipo MessageSet no ProtocolBuffers até que um patch esteja disponível.
Correção
DoS
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Linuxmint
Protocol Buffers
Red Hat
Rocky Linux
Suse
Ubuntu