ГлавнаяБаза уязвимостей БДУ → BDU:2024-01303
7.8высокая

BDU:2024-01303

Уязвимость функции http_parser() RPC-фреймворка Apache bRPC, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2024-02-15
Описание

Уязвимость функции http_parser() RPC-фреймворка Apache bRPC связана с несоответствием спецификации RFC-7230 HTTP 1.1 HTTP-запросов при обработке фрагментов полей заголовков Transfer-Encoding и Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
bRPC (от 0.9.5 до 1.7.0 включительно)
Способ устранения

Использование рекомендаций:
https://lists.apache.org/thread/kkvdpwyr2s2yt9qvvxfdzon012898vxd
https://github.com/apache/brpc/releases/tag/1.8.0
https://brpc.apache.org/docs/downloadbrpc/

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://vuldb.com/ru/?id.253174http://www.openwall.com/lists/oss-security/2024/02/08/1https://github.com/apache/brpc/pull/2518https://github.com/apache/brpc/releases/tag/1.8.0https://lists.apache.org/thread/kkvdpwyr2s2yt9qvvxfdzon012898vxdhttps://security.snyk.io/vuln/SNYK-UNMANAGED-APACHEBRPC-6234014
Проверьте безопасность своего сайта и почты → Полная проверка домена