HashiCorp Vault 中存在一个严重的拒绝服务漏洞,可让恶意行为者使用特制的 JSON 有效负载淹没服务器,从而导致资源消耗过多,并导致 Vault 实例无响应。
该漏洞被跟踪为 CVE-2025-6203,于 2025 年 8 月 28 日发布,影响从 1.15.0 版到多个修补版本的 Vault 社区版和企业版。
敦促操作员升级到 Vault 1.20.3(社区和企业)、1.19.9、1.18.14 或 1.16.25 以缓解此问题。
基于内存的 DoS 漏洞
Vault 的审计设备负责在完成请求之前记录每个请求交互。
恶意用户可以提交满足默认max_request_size限制(默认为 32 MiB)的有效负载,但利用深度嵌套的 JSON 结构或过多的条目来强制审计子例程中使用极端的 CPU 和内存。
当 JSON 解析器通过长字符串值或高对象条目计数递归时,内存消耗会激增,从而触发超时并导致 Vault 服务器无响应。
HashiCorp 引入了新的侦听器配置选项,以进一步强化 Vault 以抵御滥用 JSON 有效负载。TCP 侦听器现在可以配置:
- max_json_depth:JSON 对象的最大嵌套深度。
- max_json_string_value_length:字符串值的最大长度。
- max_json_object_entry_count:对象中的键/值对的最大数量。
- max_json_array_element_count:JSON 数组中的最大元素数。
操作员可以在 API 文档中找到有关侦听器参数的详细指导和 Vault 升级指南。
HashiCorp 感谢 Indeed 的 Darrell Bethea 博士负责任地报告了此漏洞。
| 风险因素 | 详 |
| 受影响的产品 | Vault Community 和 Vault Enterprise 1.15.0 到 1.20.2、1.19.8、1.18.13 和 1.16.24 |
| 冲击 | 拒绝服务 |
| 利用先决条件 | 对 Vault 侦听器的网络访问;能够提交带有精心制作的 JSON 有效负载的 HTTP API 请求 |
| CVSS 3.1 分数 | 7.5(高) |
缓解措施
要修复 CVE-2025-6203,客户应升级到已修补的版本之一:Vault Community Edition 1.20.3 或 Vault Enterprise Edition 1.20.3、1.19.9、1.18.14 或 1.16.25。
升级将启用对 JSON 有效负载复杂性的内置限制,防止触发拒绝服务的过度递归。
还鼓励管理员检查其max_request_size设置,并将侦听器级别约束应用于 JSON 解析,作为深度防御策略的一部分。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论