中危 恶意参数可能导致 lestrat-go/jwx 中的拒绝服务 (CVE-2023-49290)
CVE编号
CVE-2023-49290利用情况
暂无补丁情况
官方补丁披露时间
2023-12-05漏洞描述
lestrrat-go/jwx是一个实现多种JWx(JWA/JWE/JWK/JWS/JWT,也称为JOSE)技术的Go模块。在JWE算法PBES2-*中,如果p2c参数设置过高,可能导致拒绝服务。基于PBKDF2的JWE密钥管理算法需要一个称为p2c(PBES2计数)的JOSE头参数。该参数决定了派生CEK包装密钥所需的PBKDF2迭代次数。其主要目的是有意降低密钥派生函数的运算速度,使密码暴力破解和字典攻击更加资源密集。因此,如果攻击者将JWE中的p2c参数设置为非常大的数字,就会引起大量的计算消耗,导致拒绝服务。此漏洞已在提交`64f2a229b`中得到修复,并已包含在版本1.2.27和2.0.18中。建议用户升级。此漏洞没有已知的解决方法。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/lestrrat-go/jwx/commit/64f2a229b8e18605f47361d292b526bdc4aee01c | |
| https://github.com/lestrrat-go/jwx/security/advisories/GHSA-7f9x-gw85-8grf |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | lestrrat-go | jwx | * | Up to (including) 1.2.27 | |||||
| 运行在以下环境 | |||||||||
| 应用 | lestrrat-go | jwx | * | From (including) 2.0.0 | Up to (excluding) 2.0.18 | ||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-400 | 未加控制的资源消耗(资源穷尽) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论