CVE

Vulnerabilidad en HTTP/2 (CVE-2023-45802)

Severidad:

MEDIA

Type:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

23/10/2023

Última modificación:

10/06/2024

Descripción

Cuando un cliente restablecía una secuencia HTTP/2 (trama RST), había una ventana de tiempo en la que los recursos de memoria de la solicitud no se recuperaban inmediatamente. En cambio, la desasignación se aplazó hasta el cierre de la conexión. Un cliente podría enviar nuevas solicitudes y reinicios, manteniendo la conexión ocupada y abierta y provocando que la huella de memoria siga creciendo. Al cerrar la conexión, se recuperaron todos los recursos, pero el proceso podría quedarse sin memoria antes de eso. El periodista descubrió esto durante la prueba de CVE-2023-44487 (HTTP/2 Rapid Reset Exploit) con su propio cliente de prueba. Durante el uso "normal" de HTTP/2, la probabilidad de encontrar este error es muy baja. La memoria guardada no se notará antes de que la conexión se cierre o se agote el tiempo de espera. Se recomienda a los usuarios actualizar a la versión 2.4.58, que soluciona el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto