protobuf-java 存在输入验证不当漏洞
漏洞描述
protocol-buffers 是一种与语言无关、与平台无关的可扩展机制,用于序列化结构化数据。
protobuf-java core 和 lite 的的受影响版本中存在输入验证不当漏洞,导致在解析二进制和文本格式数据存在拒绝服务问题。攻击者可利用此漏洞制造包含多个具有重复或未知字段的非重复嵌入消息实例的输入流,从而会导致对象在可变和不可变形式之间来回转换,进而导致潜在的长时间垃圾收集暂停,造成拒绝服务。
| 漏洞名称 | protobuf-java 存在输入验证不当漏洞 |
|---|---|
| 漏洞类型 | 输入验证不恰当 |
| 发现时间 | 2022-10-13 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-56472 |
| CVE编号 | CVE-2022-3171 |
| CNVD编号 | - |
影响范围
com.google.protobuf:protobuf-javalite@[3.17.0-rc-1, 3.19.6)
com.google.protobuf:protobuf-javalite@(-∞, 3.16.3)
com.google.protobuf:protobuf-javalite@[3.21.0-rc-1, 3.21.7)
com.google.protobuf:protobuf-javalite@[3.20.0-rc-1, 3.20.3)
protobuf@影响所有版本
protobuf@影响所有版本
protobuf@影响所有版本
com.google.protobuf:protobuf-java@[3.16.0, 3.16.3)
com.google.protobuf:protobuf-java@[3.19.0, 3.19.6)
com.google.protobuf:protobuf-java@[3.20.0, 3.20.3)
com.google.protobuf:protobuf-java@[3.21.0, 3.21.7)
com.google.protobuf:protobuf-javalite@[3.16.0, 3.16.3)
com.google.protobuf:protobuf-javalite@[3.21.0, 3.21.7)
com.google.protobuf:protobuf-javalite@[3.20.0, 3.20.3)
com.google.protobuf:protobuf-javalite@[3.19.0, 3.19.6)
com.google.protobuf:protobuf-kotlin@[3.19.0, 3.19.6)
com.google.protobuf:protobuf-kotlin@[3.20.0, 3.20.3)
com.google.protobuf:protobuf-kotlin@[3.21.0, 3.21.7)
com.google.protobuf:protobuf-kotlin-lite@[3.16.0, 3.16.3)
google-protobuf@[3.16.0, 3.16.3)
google-protobuf@[3.20.0, 3.20.3)
google-protobuf@[3.21.0, 3.21.7)
com.google.protobuf:protobuf-kotlin-lite@[3.20.0, 3.20.3)
com.google.protobuf:protobuf-kotlin@[3.16.0, 3.16.3)
google-protobuf@[3.19.0, 3.19.6)
com.google.protobuf:protobuf-kotlin-lite@[3.19.0, 3.19.6)
com.google.protobuf:protobuf-kotlin-lite@[3.21.0, 3.21.7)
修复方案
将组件 com.google.protobuf:protobuf-javalite 升级至 3.20.3 及以上版本
升级 com.google.protobuf:protobuf-kotlin到 3.21.7 或 3.20.3 或 3.19.6 或 3.16.3 或更高版本
升级com.google.protobuf:protobuf-kotlin-lite到 3.21.7 或 3.20.3 或 3.19.6 或 3.16.3 或更高版本
升级google-protobuf到 3.21.7 或 3.20.3 或 3.19.6 或 3.16.3 或更高版本
将组件 com.google.protobuf:protobuf-javalite 升级至 3.19.6 及以上版本
将组件 com.google.protobuf:protobuf-javalite 升级至 3.16.3 及以上版本
将组件 com.google.protobuf:protobuf-javalite 升级至 3.21.7 及以上版本
升级 com.google.protobuf:protobuf-java到 3.21.7 或 3.20.3 或 3.19.6 或 3.16.3 或更高版本
升级com.google.protobuf:protobuf-javalite到 3.21.7 或 3.20.3 或 3.19.6 或 3.16.3 或更高版本
将组件 google-protobuf 升级至 3.16.3 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-56472
https://nvd.nist.gov/vuln/detail/CVE-2022-3171
https://github.com/protocolbuffers/protobuf/security/advisories/GHSA-h4h5-3hr4-j3g2
https://github.com/protocolbuffers/protobuf
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
