CVE编号
CVE-2018-12541利用情况
暂无补丁情况
N/A披露时间
2018-10-11漏洞描述
在版本从3.0.0到3.5.3的Eclipse Vert。在进行握手之前,WebSocket HTTP升级实现缓冲整个HTTP请求,将整个请求体保存在内存中。应该有一个合理的限制(8192字节),超过这个限制,WebSocket将获得一个包含413状态码的HTTP响应,并且连接将被关闭。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://bugs.eclipse.org/bugs/show_bug.cgi?id=539170
参考链接 |
|
|---|---|
| https://access.redhat.com/errata/RHSA-2018:2946 | |
| https://bugs.eclipse.org/bugs/show_bug.cgi?id=539170 | |
| https://github.com/eclipse-vertx/vert.x/issues/2648 | |
| https://lists.apache.org/thread.html/r01123837ffbfdf5809e0a4ac354ad546e4ca8f1... | |
| https://lists.apache.org/thread.html/r11789cd6d67ecca2d6f6bbb11e34495e68ee992... | |
| https://lists.apache.org/thread.html/r1af71105539fe01fcecb92d2ecd8eea56c515fb... | |
| https://lists.apache.org/thread.html/r344235b1aea2f7fa2381495df1d77d02b595e3d... | |
| https://lists.apache.org/thread.html/r362835e6c7f34324ed24e318b363fcdd20cea91... | |
| https://lists.apache.org/thread.html/r3da899890536af744dec897fbc561fd9810ac45... | |
| https://lists.apache.org/thread.html/r79789a0afb184abd13a2c07016e6e7ab8e64331... | |
| https://lists.apache.org/thread.html/r8db0431ecf93f2dd2128db5ddca897b33ba883b... | |
| https://lists.apache.org/thread.html/r98dc06e2b1c498d0e9eb5038d8e1aefd24e411e... | |
| https://lists.apache.org/thread.html/rbdc279ecdb7ac496a03befb05a53605c4ce2b67... | |
| https://lists.apache.org/thread.html/rd0e44e8ef71eeaaa3cf3d1b8b41eb25894372e2... | |
| https://lists.apache.org/thread.html/re5ddabee26fbcadc7254d03a5a073d64080a938... | |
| https://lists.apache.org/thread.html/reb3cc4f3e10264896a541813c0030ec9d9466ba... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | eclipse | vert.x | * |
From (including) 3.0.0 |
Up to (including) 3.5.3 |
||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 无
- 可用性 高
- 保密性 无
- 完整性 无
还没有评论,来说两句吧...