protobuf-cpp 和 protobuf-python 中存在拒绝服务漏洞-低调大师

protobuf-cpp 和 protobuf-python 中存在拒绝服务漏洞

2022-09-28 615

漏洞描述

Protocol Buffers 是一种开源跨平台的序列化数据结构的协议。

Protocol Buffer 的 C++ 和 Python 版本中的受影响版本中由于对输入的语句正确性验证不当并且对内存缓冲区范围内的操作限制不当，在实现中消息解析和内存管理时，会在处理特制消息时发生内存不足 (OOM) ，攻击者可以利用此漏洞导致使用这些库的服务遭到拒绝服务 (DoS)。

漏洞名称	protobuf-cpp 和 protobuf-python 中存在拒绝服务漏洞
漏洞类型	内存缓冲区边界内操作的限制不恰当
发现时间	2022/9/28
漏洞影响广度	广
MPS编号	MPS-2022-16730
CVE编号	CVE-2022-1941
CNVD编号	-

影响范围

protobuf@[4.0.0rc1, 4.21.6)

protobuf@[3.19.0rc1, 3.19.5)

protobuf@(-∞, 3.18.3)

protobuf@[3.20.0rc1, 3.20.2)

protobuf@[4.0.0rc1, 4.21.6)

protobuf@(-∞, 3.18.3)

protobuf@[3.19.0rc1, 3.19.5)

修复方案

升级protobuf到 3.18.3 或 3.19.5 或 3.20.2 或 4.21.6 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-16730

https://nvd.nist.gov/vuln/detail/CVE-2022-1941

https://github.com/protocolbuffers/protobuf/security/advisories/GHSA-8gq9-2x98-w8hf

https://github.com/protocolbuffers/protobuf

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/212004

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

😎 .NET 框架 Furion v4.5.1 发布，贡献者破 220 人

.NET 要在国内真正发展起来，必须得有一些追逐梦想的人在做着不计付出的事情，而我希望自己能贡献一份微薄之力。序言经过两年多的迭代，Furion 框架已经相当成熟稳定，贡献者突破 220 人，但我们的团队并没有停止脚步，精益求精逐步将过去所有模块重新优化乃至重构。本次版本主要对日志功能，特别是控制台日志进行改进优化，支持更简易的方式配置模板、配置格式化，支持日志级别、日志类别、异常日记着色。项目信息 Gitee：https://gitee.com/dotnetchina/Furion Github：https://github.com/MonkSoul/Furion 文档：https://dotnetchina.gitee.io/furion 本期亮点 1. 控制台日志支持更简易方式自定义模板 services.AddConsoleFormatter(options => { options.MessageFormat = (logMsg) => { var stringBuilder = new StringBuilder(); stringBuild...

2022-09-28

464

漏洞描述 Vim 是老式 UNIX 编辑器 Vi的一个大大改进的版本。 vim/vim 在9.0.0598之前版本中的win_new_width函数中未对窗口长度变量width的值进行限制，当窗口长度为负值时会造成缓冲区溢出漏洞，攻击者可利用此漏洞造成拒绝服务或执行恶意代码。漏洞名称 vim/vim <9.0.0598 缓冲区溢出漏洞漏洞类型栈缓冲区溢出发现时间 2022/9/28 漏洞影响广度一般 MPS编号 MPS-2022-58108 CVE编号 CVE-2022-3324 CNVD编号 - 影响范围 vim/vim@(-∞, 9.0.0598) 修复方案升级vim/vim到 9.0.0598 或更高版本参考链接 https://www.oscs1024.com/hd/MPS-2022-58108 https://nvd.nist.gov/vuln/detail/CVE-2022-3324 https://github.com/vim/vim/commit/8279af514ca7e5fd3c31cf13b0864163d1a0bfeb https://git...

2022-09-28

611

资源下载

更多资源

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。