Google Go HTTP/2 Reset Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.1$0-$5k0.00

Zusammenfassunginfo

Eine Schwachstelle wurde in Google Go entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente HTTP2 Reset Handler. Die Bearbeitung verursacht Denial of Service. Diese Schwachstelle trägt die Bezeichnung CVE-2023-39325. Ein Angriff ist aus der Distanz möglich. Zusätzlich gibt es einen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine Schwachstelle wurde in Google Go - die betroffene Version ist nicht genau spezifiziert - (Programming Language Software) gefunden. Sie wurde als problematisch eingestuft. Betroffen davon ist ein unbekannter Prozess der Komponente HTTP2 Reset Handler. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-400. Mit Auswirkungen muss man rechnen für die Verfügbarkeit. CVE fasst zusammen:

A malicious HTTP/2 client which rapidly creates requests and immediately resets them can cause excessive server resource consumption. While the total number of requests is bounded by the http2.Server.MaxConcurrentStreams setting, resetting an in-progress request allows the attacker to create a new request while the existing one is still executing. With the fix applied, HTTP/2 servers now bound the number of simultaneously executing handler goroutines to the stream concurrency limit (MaxConcurrentStreams). New requests arriving when at the limit (which can only happen after the client has reset an existing, in-flight request) will be queued until a handler exits. If the request queue grows too large, the server will terminate the connection. This issue is also fixed in golang.org/x/net/http2 for users manually configuring HTTP/2. The default stream concurrency limit is 250 streams (requests) per HTTP/2 connection. This value may be adjusted using the golang.org/x/net/http2 package; see the Server.MaxConcurrentStreams setting and the ConfigureServer function.

Die Schwachstelle wurde am 12.10.2023 veröffentlicht. Die Identifikation der Schwachstelle findet seit dem 27.07.2023 als CVE-2023-39325 statt. Es sind zwar keine technische Details, jedoch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1499.

Er wird als hoch funktional gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 208702 (Ubuntu 22.04 LTS : Go vulnerabilities (USN-7061-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Upgrade vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von Tenable (208702) und CERT Bund (WID-SEC-2024-1228) dokumentiert. Once again VulDB remains the best source for vulnerability data.

Betroffen

  • Red Hat Enterprise Linux
  • Red Hat OpenStack
  • IBM MQ
  • Red Hat OpenShift

Produktinfo

Typ

Hersteller

Name

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 5.1

VulDB Base Score: 5.3
VulDB Temp Score: 5.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Hoch funktional

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 208702
Nessus Name: Ubuntu 22.04 LTS : Go vulnerabilities (USN-7061-1)

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Timelineinfo

27.07.2023 🔍
12.10.2023 +77 Tage 🔍
12.10.2023 +0 Tage 🔍
27.07.2025 +654 Tage 🔍

Quelleninfo

Hersteller: google.com

Status: Bestätigt

CVE: CVE-2023-39325 (🔍)
GCVE (CVE): GCVE-0-2023-39325
GCVE (VulDB): GCVE-100-241988
CERT Bund: WID-SEC-2024-1228 - Red Hat OpenStack: Mehrere Schwachstellen

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 12.10.2023 09:07
Aktualisierung: 27.07.2025 05:05
Anpassungen: 12.10.2023 09:07 (39), 31.10.2023 10:18 (1), 11.10.2024 00:53 (17), 24.04.2025 06:43 (2), 27.07.2025 05:05 (7)
Komplett: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!