CVE-2021-22569
Denial of Service of protobuf-java parsing procedure
En resumen
Un mensaje protobuf malicioso puede congelar el analizador Java durante varios minutos al forzar la creación de muchos objetos temporales repetidamente. Esto permite que atacantes deshabiliten servicios que procesan datos protobuf de origen desconocido.
Detalle técnico
CVE-2021-22569 explota el manejo inadecuado de campos UnknownFieldSet intercalados en protobuf-java, donde cargas útiles elaboradas provocan pausas excesivas de recolección de basura mediante asignación rápida de objetos. El vector de ataque requiere procesar mensajes protobuf serializados no confiables, resultando en denegación de servicio sin requerir autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue in protobuf-java allowed the interleaving of com.google.protobuf.UnknownFieldSet fields in such a way that would be processed out of order. A small malicious payload can occupy the parser for several minutes by creating large numbers of short-lived objects that cause frequent, repeated pauses. We recommend upgrading libraries beyond the vulnerable versions.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
Google LLC · google-protobuf [JRuby Gem]Google LLC · protobuf-javaGoogle LLC · protobuf-kotlin¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=39330https://cloud.google.com/support/bulletins#gcp-2022-001https://lists.debian.org/debian-lts-announce/2023/04/msg00019.htmlhttps://www.oracle.com/security-alerts/cpuapr2022.htmlhttp://www.openwall.com/lists/oss-security/2022/01/12/4http://www.openwall.com/lists/oss-security/2022/01/12/7