Gorilla WebSocket整数溢出漏洞

CVE编号

CVE-2020-27813

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-12-02

漏洞描述

Gorilla Websocket是Gorilla个人开发者的一个基于Go语言实现的Websocket代码库。 Gorilla WebSocket 1.4.0之前版本存在安全漏洞，该漏洞源于通过websocket连接接收的websocket帧的长度存在整数溢出漏洞。攻击者可利用该漏洞会利用这个漏洞对允许websocket连接的HTTP服务器发起拒绝服务攻击。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/gorilla/websocket/security/advisories/GHSA-jf24-p9p9-4rjh

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1902111
https://github.com/gorilla/websocket/security/advisories/GHSA-jf24-p9p9-4rjh
https://lists.debian.org/debian-lts-announce/2021/01/msg00008.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	gorillatoolkit	websocket	*		Up to (excluding) 1.4.1
	运行在以下环境
	系统	debian_10	golang-websocket	*		Up to (excluding) 1.4.0-1
	运行在以下环境
	系统	debian_9	golang-websocket	*		Up to (excluding) 1.1.0-1+deb9u1

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-190 整数溢出或超界折返 CWE-400 未加控制的资源消耗（资源穷尽）

正文

Gorilla WebSocket整数溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]