Minder 中恶意配置的 Git 存储库导致拒绝服务(CVE-2024-37904)

admin
admin
admin
0
文章
0
评论
2024-06-19 21:36:02 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Minder 中恶意配置的 Git 存储库导致拒绝服务(CVE-2024-37904)

CVE编号

CVE-2024-37904

利用情况

暂无

补丁情况

N/A

披露时间

2024-06-19
漏洞描述
Minder是一个开源的软件供应链安全平台。其Git提供商在L55-L89行的代码中使用了`github.com/go-git/go-git/v5`库来克隆用户仓库。在L56-L62行的代码中,Git提供商设置了CloneOptions,包括URL、深度等选项的验证,然后设置了一个内存文件系统,并克隆仓库。然而,`(g *Git) Clone()`方法存在拒绝服务(DoS)漏洞:Minder用户可以指示Minder克隆一个大型仓库,这将耗尽内存并导致Minder服务器崩溃。这个漏洞的根本原因是以下条件的结合:1.用户可以控制Minder克隆的Git URL;2. Minder没有对仓库大小进行限制;3. Minder将整个仓库克隆到内存中。这个问题已在commit `7979b43`中得到解决,并已包含在发布版本v0.0.52中。建议用户进行升级。对于此漏洞,没有已知的解决方法。
解决建议
"将组件 github.com/stacklok/minder 升级至 0.0.52 及以上版本"
参考链接
https://github.com/stacklok/minder/blob/85985445c8ac3e51f03372e99c7b2f08a6d27...
https://github.com/stacklok/minder/blob/85985445c8ac3e51f03372e99c7b2f08a6d27...
https://github.com/stacklok/minder/commit/7979b43
https://github.com/stacklok/minder/security/advisories/GHSA-hpcg-xjq5-g666
CVSS3评分 5.7
  • 攻击路径 网络
  • 攻击复杂度 低
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 需要
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-38347利用情况 暂无补丁情况 N/A披露时间 2024-06-19漏洞描述CodeProjects Health C
06-190 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-38348利用情况 暂无补丁情况 N/A披露时间 2024-06-19漏洞描述CodeProjects Health C
06-190 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0