Http4s 标头解析器存在输入验证不当漏洞
漏洞描述
http4s 是一个用于处理 HTTP 服务的 Scala 接口。
http4s 受影响版本中的 User-Agent 和 Server 标头解析器在解析未明确请求类型化标头(如:req.headers.get[User-Agent])的服务时,modeled headers 将会被延迟解析。
修复版本通过使用弱类型标头接口修复此漏洞。
| 漏洞名称 | Http4s 标头解析器存在输入验证不当漏洞 |
|---|---|
| 漏洞类型 | 输入验证不恰当 |
| 发现时间 | 2023-01-05 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-69794 |
| CVE编号 | CVE-2023-22465 |
| CNVD编号 | - |
影响范围
org.http4s:http4s-core@[0.23.0, 0.23.17)
org.http4s:http4s-core@[0.1.0, 0.21.34)
org.http4s:http4s-core@[0.22.0, 0.22.15)
org.http4s:http4s-core@[1.0.0-M1, 1.0.0-M38)
修复方案
将组件 org.http4s:http4s-core 升级至 0.23.17 及以上版本
将组件 org.http4s:http4s-core 升级至 0.21.34 及以上版本
将组件 org.http4s:http4s-core 升级至 0.22.15 及以上版本
将组件 org.http4s:http4s-core 升级至 1.0.0-M38 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-69794
https://nvd.nist.gov/vuln/detail/CVE-2023-22465
https://github.com/http4s/http4s/security/advisories/GHSA-54w6-vxfh-fw7f
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
eKuiper 连接格式优化,支持自定义
12月, eKuiper 团队继续专注于 1.8.0 版本新功能的开发。我们重构了外部连接(source/sink) 的格式机制,更加清晰地分离了连接、格式和 Schema,同时支持了格式的自定义;受益于新的格式机制,我们大幅完善了文件源(file source)的能力,支持定时监控文件系统及各种格式的文件,并且采用流的方式消费文件系统数据;最后,我们增加了完整数据包括规则和配置的导入导出功能,支持节点的迁移。另外,我们也修复了一些问题,并发布到 1.7.x 版本中。 12月的版本发布包括: v1.8.0-alpha.3:包含 1.8.0 已开发完成的新功能 v1.7.4:包含 bug fixes v1.7.5:包含 bug fixes 连接格式优化和自定义:序列化和 Schema eKuiper 通过 source/sink 与外部系统进行连接、读入或写出数据。以 source 为例,每种类型的 source 读取数据时都需要经过连接(connect)和序列化(serialization)两个步骤。例如,MQTT source,连接意味着遵循 MQTT 协议连接 broker,而序列...
- 下一篇
KubePi 存在硬编码导致JWT伪造漏洞
漏洞描述 KubePi 是一个现代化的 K8s 面板。管理员可以使用KubePi 导入多个 Kubernetes 集群,并且通过权限控制,将不同 cluster、namespace 的权限分配给指定用户。开发人员可以通过使用KubePi 管理 Kubernetes 集群中运行的应用程序并对其进行故障排查,以便更好地处理 Kubernetes 集群中的复杂的工作。 该项目受影响版本存在硬编码导致JWT伪造漏洞,由于jwt 认证功能中session.go使用硬编码的 jwtsigkeys,导致所有在线项目使用相同的 Jwtsigkeys。远程攻击者可以伪造任何 jwt 令牌来接管任何在线项目的管理员帐户,甚至接管企业的 k8s 集群。 漏洞名称 KubePi 存在硬编码导致JWT伪造漏洞 漏洞类型 使用硬编码的凭证 发现时间 2023-01-05 漏洞影响广度 一般 MPS编号 MPS-2022-69792 CVE编号 CVE-2023-22463 CNVD编号 - 影响范围 KubePi@(-∞, 1.6.3) 修复方案 升级KubePi到1.6.3或更高版本 参考链接 https://...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS8编译安装MySQL8.0.19
微信收款码
支付宝收款码