Plateforme
java
Composant
protobuf-java
Corrigé dans
3.17.0
3.18.2
3.19.2
La vulnérabilité CVE-2021-22569 affecte le paquet npm serialize-javascript, spécifiquement les versions inférieures ou égales à 7.0.2. Elle permet une exécution de code à distance (RCE) en raison d'une interpolation non sécurisée des flags d'un objet RegExp. Un attaquant contrôlant l'objet d'entrée peut injecter du code JavaScript malveillant qui sera exécuté lors de l'évaluation de la chaîne sérialisée. Une version corrigée, 7.0.3, est disponible.
La vulnérabilité CVE-2021-22569 affecte la bibliothèque protobuf-java, un outil largement utilisé pour la sérialisation et la désérialisation de données structurées en Java. Un problème de Déni de Service (DoS) a été identifié dans la procédure d'analyse des données binaires. Un attaquant pourrait envoyer un message protobuf malveillant, conçu pour consommer une quantité excessive de ressources système (CPU, mémoire) pendant l'analyse, ce qui pourrait entraîner une interruption de service ou un plantage de l'application. Cette vulnérabilité est particulièrement préoccupante car protobuf est utilisé dans une large gamme d'applications, notamment les microservices, les systèmes de messagerie et le stockage de données. La vulnérabilité n'affecte pas les utilisateurs de 'javalite' (généralement sur Android).
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse envoyer des messages protobuf à l'application vulnérable. Cela peut se produire dans divers scénarios, tels que via une API, un système de messagerie ou un protocole réseau. L'attaquant doit créer un message protobuf spécifiquement conçu pour déclencher le problème de DoS. La complexité de la création de ce message dépend de la structure des données protobuf et de l'implémentation spécifique de l'analyseur. La détection de cette exploitation peut être difficile, car l'attaque se manifeste par une forte consommation de ressources système. L'impact peut varier en fonction de l'architecture du système et de la charge de travail existante.
Statut de l'Exploit
EPSS
0.27% (percentile 50%)
Vecteur CVSS
La solution recommandée est de mettre à niveau vers la version 3.16.1 ou supérieure de protobuf-java. Cette version inclut une correction pour éviter une consommation excessive de ressources lors de l'analyse de messages protobuf malveillants. Il est recommandé d'effectuer cette mise à niveau dès que possible pour atténuer le risque d'attaques DoS. Si la mise à niveau immédiate n'est pas possible, envisagez d'étudier et de mettre en œuvre des mesures d'atténuation alternatives, telles que la validation stricte des messages protobuf entrants et la limitation des ressources disponibles pour le processus d'analyse. Il est essentiel de vérifier les dépendances de votre projet et de vous assurer que toutes les bibliothèques protobuf-java sont mises à jour. La mise à niveau doit être testée dans un environnement de test avant d'être déployée en production.
Actualice la biblioteca protobuf-java a la versión 3.19.2 o superior para mitigar la vulnerabilidad de denegación de servicio. La vulnerabilidad se debe a la manipulación incorrecta de los campos de UnknownFieldSet, lo que puede provocar un consumo excesivo de recursos y una interrupción del servicio.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Protobuf-java est une bibliothèque Google pour la sérialisation de données structurées en Java. Elle vous permet de définir la structure de vos données dans un fichier .proto et de générer ensuite du code Java pour sérialiser et désérialiser ces données.
Vérifiez la version de protobuf-java que vous utilisez dans votre projet. Si elle est antérieure à la version 3.16.1, elle est vulnérable. Vous pouvez utiliser des outils de gestion des dépendances tels que Maven ou Gradle pour vérifier la version.
Mettez en œuvre des mesures d'atténuation telles que la validation stricte des messages protobuf entrants et la limitation des ressources disponibles pour le processus d'analyse.
Non, les utilisateurs de 'javalite' (généralement sur Android) ne sont pas affectés par cette vulnérabilité.
Vous pouvez trouver plus d'informations sur cette vulnérabilité au CVE : [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22569](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22569)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.