Aiohttp 3.9.4 opravuje DoS zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

[TLP:CLEAR] Aiohttp 3.9.4 opravuje DoS zranitelnost

Aiohttp ve verzi 3.9.4 [1] opravuje vysoce závažnou zranitelnost - odepření služby [2]. Byla již vydána i verze 3.9.5 [3].

Aiohttp - DoS (CVE-2024-30251) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím speciálně vytvořeného POST requestu zaslaného na aiohttp server umožněno kvůli zacyklení vykonat DoS útok [2][4].

Zranitelnost se nachází v produktu aiohttp ve verzích <3.9.4

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

CVE-2024-30251 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 2. 5. 2024.

Odkazy

[1] https://github.com/aio-libs/aiohttp/releases/tag/v3.9.4
[2] https://www.openwall.com/lists/oss-security/2024/05/02/4
[3] https://github.com/aio-libs/aiohttp/releases/tag/v3.9.5
[4] https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5m98-qgg9-wh84

Publikovala Michaela Mačalíková dne 2. 5. 2024.

Zpětná vazba k reportu

[TLP:CLEAR] Aiohttp 3.9.4 opravuje DoS zranitelnost

Aiohttp - DoS (CVE-2024-30251) CVSS 7.5 (High)

Odkazy