Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Trillium (CVE-2024-23644)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
24/01/2024
Última modificación:
02/02/2024

Descripción

Trillium es un conjunto de herramientas componibles para crear aplicaciones de Internet con óxido asíncrono. En `trillium-http` anterior a 0.3.12 y `trillium-client` anterior a 0.5.4, la validación insuficiente de los valores de encabezado salientes puede llevar a ataques de división de solicitudes o de división de respuestas en escenarios donde los atacantes tienen suficiente control sobre los encabezados. Esto solo afecta a los casos de uso en los que los atacantes tienen control de los encabezados de las solicitudes y pueden insertar secuencias "\r\n". Específicamente, si se inserta entrada que no es de confianza y no validada en nombres o valores de encabezado. Los `trillium_http::HeaderValue` y `trillium_http::HeaderName` salientes se pueden construir de manera infalible y no se verificaron en busca de bytes ilegales al enviar solicitudes del cliente o respuestas del servidor. Por lo tanto, si un atacante tiene suficiente control sobre los valores de encabezado (o nombres) en una solicitud o respuesta como para poder inyectar secuencias `\r\n`, podría desincronizar el cliente y el servidor y luego girar para obtener control sobre otras partes de solicitudes o respuestas. (es decir, filtrar datos de otras solicitudes, SSRF, etc.) En las versiones 0.3.12 y posteriores de `trillium-http`, si un nombre de encabezado no es válido en los encabezados de respuesta del servidor, el encabezado específico y cualquier valor asociado se omiten de la transmisión de red. Además, si un valor de encabezado no es válido en los encabezados de respuesta del servidor, el valor del encabezado individual se omite de la transmisión de la red. Se seguirán enviando otros valores de encabezado con el mismo nombre de encabezado. En las versiones 0.5.4 y posteriores de `trillium-client`, si algún nombre o valor de encabezado no es válido en los encabezados de solicitud del cliente, en espera, el cliente Conn devuelve un `Error::MalformedHeader` antes de cualquier acceso a la red. Como workaround, los servicios de Trillium y las aplicaciones cliente deben desinfectar o validar las entradas que no son de confianza incluidas en los valores y nombres de los encabezados. No se permiten caracteres de carriage return, nueva línea, ni nulos.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.10
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:trillium:trillium:*:*:*:*:*:rust:*:* 0.5.4 (excluyendo)
cpe:2.3:a:trillium:trillium-http:*:*:*:*:*:rust:*:* 0.3.12 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información