PT-2024-3059 · Varnish+6 · Varnish Cache+7

Publicado

2024-03-23

·

Atualizado

2025-11-13

·

CVE-2024-30156

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Varnish Cache anteriores à 7.3.2
Versões do Varnish Cache 7.4.x anteriores à 7.4.3
Versão 6.0.13 LTS do Varnish Cache e anteriores
Versões do Varnish Enterprise 6 anteriores à 6.0.12r6
Descrição
O problema está relacionado a um consumo descontrolado de recursos, que pode ser explorado por um invasor remoto para realizar um ataque de negação de serviço (DoS), também conhecido como Broke Window Attack. Esse ataque está relacionado ao esgotamento de créditos para uma janela de controle de fluxo de conexão HTTP/2.
Recomendações
Para versões do Varnish Cache anteriores à 7.3.2, atualize para a versão 7.3.2 ou posterior.
Para versões do Varnish Cache 7.4.x anteriores à 7.4.3, atualize para a versão 7.4.3 ou posterior.
Para a versão 6.0.13 LTS do Varnish Cache e anteriores, atualize para a versão 6.0.13 LTS ou posterior.
Para versões do Varnish Enterprise 6 anteriores à 6.0.12r6, atualize para a versão 6.0.12r6 ou posterior.

Correção

Resource Exhaustion

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-770

Identificadores relacionados

ALSA-2024:1690
ALSA-2024:1691
BDU:2024-03246
CESA-2024_1690
CVE-2024-30156
MGASA-2024-0124
OESA-2024-1415
RHSA-2024:1689
RHSA-2024:1690
RHSA-2024:1691
RHSA-2024:2700
RHSA-2024:2820
RHSA-2024:2938
RHSA-2024:3305
RHSA-2024:3426
RHSA-2024:4937
RHSA-2024_1690
RHSA-2024_1691
RLSA-2024:1690
RLSA-2024:1691

Produtos afetados

Almalinux
Centos
Debian
Red Hat
Red Os
Rocky Linux
Varnish Cache
Varnish Enterprise