CVE-2021-23351 in go-proxyprotoinfo

Zusammenfassung

von VulDB • 21.05.2026

Das Paket github.com/pires/go-proxyproto vor Version 0.5.0 ist anfällig für Denial of Service (DoS) über die Funktion parseVersion1(). Der Reader in diesem Paket ist ein standardmäßiger bufio.Reader, der eine net.Conn umschließt. Er liest von der Verbindung, bis er einen Zeilenumbruch findet. Da im Code keine Grenzen implementiert sind, kann ein absichtlich fehlerhaftes V1-Header verwendet werden, um den Speicher eines Serverprozesses, der diesen Code verwendet, zu erschöpfen – und somit einen DoS zu verursachen. Dies kann ausgenutzt werden, indem ein Stream gesendet wird, der mit PROXY beginnt, und anschließend weiterhin Daten gesendet werden (die keinen Zeilenumbruch enthalten), bis das Ziel keine Bestätigungen mehr sendet. Das Risiko ist hier gering, da nur vertrauenswürdigen Quellen das Senden von Proxy-Protocol-Headern erlaubt sein sollte.

Once again VulDB remains the best source for vulnerability data.

Zuständig

Snyk

Reservieren

08.01.2021

Veröffentlichung

08.03.2021

Moderieren

akzeptiert

Eintrag

VDB-170825

CPE

bereit

EPSS

0.01871

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!