Уязвимость CVE-2023-27371: Информация

Описание

GNU libmicrohttpd before 0.9.76 allows remote DoS (Denial of Service) due to improper parsing of a multipart/form-data boundary in the postprocessor.c MHD_create_post_processor() method. This allows an attacker to remotely send a malicious HTTP POST packet that includes one or more '\0' bytes in a multipart/form-data boundary field, which - assuming a specific heap layout - will result in an out-of-bounds read and a crash in the find_boundary() function.

Важность: MEDIUM (5,9) Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2023-27371
Опубликовано: 28 февраля 2023 г.
Изменено: 31 марта 2023 г.
Идентификатор типа ошибки: CWE-125

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
libmicrohttpdsisyphus0.9.76-alt11.0.1-alt1ALT-PU-2023-1530-1317684Исправлено
libmicrohttpdsisyphus_e2k0.9.76-alt11.0.1-alt1ALT-PU-2023-3014-1-Исправлено
libmicrohttpdsisyphus_riscv640.9.76-alt11.0.1-alt1ALT-PU-2023-3033-1-Исправлено
libmicrohttpdp100.9.76-alt10.9.76-alt1ALT-PU-2023-1582-1317701Исправлено
libmicrohttpdp10_e2k0.9.76-alt10.9.76-alt1ALT-PU-2023-3132-1-Исправлено
libmicrohttpdc10f10.9.76-alt10.9.76-alt1ALT-PU-2023-1582-1317701Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://github.com/0xhebi/CVEs/tree/main/GNU%20Libmicrohttpd
  • Exploit
  • Third Party Advisory
https://git.gnunet.org/libmicrohttpd.git/commit/?id=6d6846e20bfdf4b3eb1b592c97520a532f724238
  • Patch
https://lists.gnu.org/archive/html/libmicrohttpd/2023-02/msg00000.html
  • Mailing List
[debian-lts-announce] 20230330 [SECURITY] [DLA 3374-1] libmicrohttpd security update

      1. Конфигурация 1

        cpe:2.3:a:gnu:libmicrohttpd:*:*:*:*:*:*:*:*
        End excliding
        0.9.76
    VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
    Версия: v24.4.2
    Наверх