Vulnerabilidad en tls-listener (CVE-2024-28854)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
15/03/2024
Última modificación:
09/04/2025
Descripción
tls-listener es un contenedor de idioma oxidado alrededor de un oyente de conexión para admitir TLS. Con la configuración predeterminada de tls-listener, un usuario malintencionado puede abrir 6.4 `TcpStream` por segundo, enviando 0 bytes y puede desencadenar un DoS. Las opciones de configuración predeterminadas hacen que cualquier servicio público que utilice `TlsListener::new()` sea vulnerable a un ataque DoS de loris lento. Esto afecta a cualquier servicio de acceso público que utilice la configuración predeterminada de tls-listener en versiones anteriores a la 0.10.0. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden mitigar esto pasando un valor grande, como `usize::MAX` como parámetro para `Builder::max_handshakes`.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:tmccombs:tls-listener:*:*:*:*:*:rust:*:* | 0.10.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://en.wikipedia.org/wiki/Slowloris_(computer_security)
- https://github.com/tmccombs/tls-listener/commit/d5a7655d6ea9e53ab57c3013092c5576da964bc4
- https://github.com/tmccombs/tls-listener/security/advisories/GHSA-2qph-qpvm-2qf7
- https://en.wikipedia.org/wiki/Slowloris_(computer_security)
- https://github.com/tmccombs/tls-listener/commit/d5a7655d6ea9e53ab57c3013092c5576da964bc4
- https://github.com/tmccombs/tls-listener/security/advisories/GHSA-2qph-qpvm-2qf7