protobuf-java core/protobuf-java lite bis 3.16.2/3.19.5/3.20.2/3.21.6 Garbage Collection Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine als problematisch klassifizierte Schwachstelle in protobuf-java core and protobuf-java lite bis 3.16.2/3.19.5/3.20.2/3.21.6 entdeckt. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente Garbage Collection Handler. Dank Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2022-3171 bekannt. Umgesetzt werden kann der Angriff im lokalen Netzwerk. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in protobuf-java core sowie protobuf-java lite bis 3.16.2/3.19.5/3.20.2/3.21.6 (Programming Language Software) gefunden. Sie wurde als problematisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente Garbage Collection Handler. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-404 vorgenommen. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:
A parsing issue with binary data in protobuf-java core and lite versions prior to 3.21.7, 3.20.3, 3.19.6 and 3.16.3 can lead to a denial of service attack. Inputs containing multiple instances of non-repeated embedded messages with repeated or unknown fields causes objects to be converted back-n-forth between mutable and immutable forms, resulting in potentially long garbage collection pauses. We recommend updating to the versions mentioned above.Die Schwachstelle wurde am 13.10.2022 als GHSA-h4h5-3hr4-j3g2 publik gemacht. Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 09.09.2022 unter CVE-2022-3171 geführt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 211155 (Fedora 37 : protobuf (2022-25f35ed634)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 3.16.3, 3.19.6, 3.20.3 oder 3.21.7 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (211155) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
- 3.16.0
- 3.16.1
- 3.16.2
- 3.19.0
- 3.19.1
- 3.19.2
- 3.19.3
- 3.19.4
- 3.19.5
- 3.20.0
- 3.20.1
- 3.20.2
- 3.21.0
- 3.21.1
- 3.21.2
- 3.21.3
- 3.21.4
- 3.21.5
- 3.21.6
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 7.5
NVD Vector: 🔍
CNA Base Score: 4.3
CNA Vector (Google Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 211155
Nessus Name: Fedora 37 : protobuf (2022-25f35ed634)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: protobuf-java core/protobuf-java lite 3.16.3/3.19.6/3.20.3/3.21.7
Timeline
09.09.2022 🔍13.10.2022 🔍
13.10.2022 🔍
15.11.2024 🔍
Quellen
Advisory: GHSA-h4h5-3hr4-j3g2Status: Bestätigt
CVE: CVE-2022-3171 (🔍)
GCVE (CVE): GCVE-0-2022-3171
GCVE (VulDB): GCVE-100-210756
Eintrag
Erstellt: 13.10.2022 14:15Aktualisierung: 15.11.2024 03:51
Anpassungen: 13.10.2022 14:15 (51), 07.11.2022 13:29 (11), 15.11.2024 03:51 (16)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.