正文

Google gRPC 缓冲区错误漏洞

admin
admin V管理员 /0 评论 /22 阅读
0113
此篇文章发布距今已超过1255天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Google gRPC 缓冲区错误漏洞

  • CNNVD编号:CNNVD-201704-844
    • <!--
  • 危害等级: 高危-->
  • 危害等级: 高危
  • CVE编号: CVE-2017-7860
  • 漏洞类型: 缓冲区错误
  • 发布时间: 2017-04-14
  • 威胁类型: 远程
  • 更新时间: 2017-05-10
  • 厂        商: grpc
  • 漏洞来源:

漏洞简介

Google gRPC是美国谷歌(Google)公司开发的一个面向移动和HTTP/2设计的开源、通用的RPC框架,具有双向流、流控、头部压缩、单TCP连接上的多复用请求等特点。

Google gRPC 2017-02-22之前的版本中的core/ext/client_channel/parse_address.c文件的‘parse_unix’函数存在基于堆的缓冲区溢出漏洞。攻击者可利用该漏洞造成越边界写入。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

https://github.com/grpc/grpc/pull/9833

参考网址

来源:MISC

链接:https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=661

来源:MISC

链接:https://github.com/grpc/grpc/pull/9833 来源:NSFOCUS 名称:36416 链接:http://www.nsfocus.net/vulndb/36416

受影响实体

  • Grpc Grpc:1.1.2  
    <!--
    2000-1-1
    -->

补丁

  • Google gRPC 缓冲区错误漏洞的修复措施
    <!--
    2017-5-10
    -->