PT-2024-16964 · Google+2 · Grpc-C+++2

Vignesh2208

·

Publicado

2024-11-26

·

Atualizado

2025-07-23

·

CVE-2024-11407

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do gRPC-C++ anteriores ao commit e9046b2bbebc0cb7f5dc42008f807f6c7e98e791
Descrição
O problema está relacionado a uma negação de serviço por meio de corrupção de dados no gRPC-C++. Servidores com a transmissão zero copy habilitada por meio do argumento de canal GRPC ARG TCP TX ZEROCOPY ENABLED podem apresentar problemas de corrupção de dados. Os dados enviados pelo aplicativo podem ser corrompidos antes da transmissão pela rede, levando o destinatário a receber um conjunto incorreto de bytes e causando a falha das solicitações RPC.
Recomendações
Para versões do gRPC-C++ anteriores ao commit e9046b2bbebc0cb7f5dc42008f807f6c7e98e791, recomendamos atualizar para uma versão posterior a este commit para resolver o problema. Como solução alternativa temporária, considere desativar o recurso de transmissão zero copy definindo GRPC ARG TCP TX ZEROCOPY ENABLED como 0 até que um patch esteja disponível. Restrinja o acesso ao argumento de canal GRPC ARG TCP TX ZEROCOPY ENABLED para minimizar o risco de exploração.

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-682

Identificadores relacionados

AZL-53456
CVE-2024-11407
ECHO-F4E8-DDE8-D71E
OESA-2024-2573
OPENSUSE-SU-2024_4393-1
OPENSUSE-SU-2024_4400-1
OPENSUSE-SU-2024_4401-1
OPENSUSE-SU-2024_4428-1
OPENSUSE-SU-2024_4429-1
OPENSUSE-SU-2024_4436-1
OPENSUSE-SU-2025:15031-1
RHSA-2025:0340
RHSA-2025:1019
SUSE-SU-2024:4393-1
SUSE-SU-2024:4400-1
SUSE-SU-2024:4401-1
SUSE-SU-2024:4428-1
SUSE-SU-2024:4429-1
SUSE-SU-2024:4436-1
SUSE-SU-2024_4393-1
SUSE-SU-2024_4400-1
SUSE-SU-2024_4401-1
SUSE-SU-2024_4428-1
SUSE-SU-2024_4429-1
SUSE-SU-2024_4436-1

Produtos afetados

Debian
Suse
Grpc-C++