ГлавнаяБаза уязвимостей БДУ → BDU:2023-08698
5средняя

BDU:2023-08698 (CVE-2023-49290)

Уязвимость алгоритма шифрования PBES2 библиотеки jwx, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2023-12-14
Описание

Уязвимость алгоритма шифрования PBES2 библиотеки jwx связана с неконтролируемым расходом ресурсов при обработке параметра p2c, определяющего количество итераций, необходимых для получения ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
jwx (до 1.2.27)jwx (от 2.0.0 до 2.0.18)
Способ устранения

Использование рекомендаций:
https://github.com/lestrrat-go/jwx/commit/64f2a229b8e18605f47361d292b526bdc4aee01c
https://github.com/lestrrat-go/jwx/releases/tag/v2.0.18
https://github.com/lestrrat-go/jwx/releases/tag/v1.2.27

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://github.com/lestrrat-go/jwx/commit/64f2a229b8e18605f47361d292b526bdc4aee01chttps://github.com/lestrrat-go/jwx/security/advisories/GHSA-7f9x-gw85-8grfhttps://access.redhat.com/security/cve/cve-2023-49290https://bugzilla.redhat.com/show_bug.cgi?id=2252905
Проверьте безопасность своего сайта и почты → Полная проверка домена