Katalog CVE

CVE-2023-3603

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.77%

Percentyl 51 — wyżej niż 51% wszystkich znanych CVE

Streszczenie

Brak sprawdzenia alokacji w serwerze SFTP podczas przetwarzania żądań odczytu może prowadzić do dereferencji NULL w warunkach niskiej pamięci. Złośliwy klient może zażądać odczytów SFTP do 4 GB, co może spowodować alokację buforów do 4 GB bez sprawdzenia błędów.

Ocena ryzyka

Może to spowodować awarię połączenia serwera SFTP użytkownika z autoryzacją, co w przypadku serwerów opartych na wątkach może prowadzić do odmowy usługi dla legalnych użytkowników.

Rekomendacja

Zaleca się monitorowanie i aktualizację serwera SFTP, aby uniknąć potencjalnych problemów związanych z alokacją pamięci w przyszłych wersjach.

Oryginalny opis (angielski, źródło NVD)

A missing allocation check in sftp server processing read requests may cause a NULL dereference on low-memory conditions. The malicious client can request up to 4GB SFTP reads, causing allocation of up to 4GB buffers, which was not being checked for failure. This will likely crash the authenticated user's sftp server connection (if implemented as forking as recommended). For thread-based servers, this might also cause DoS for legitimate users. Given this code is not in any released versions, no security releases have been issued.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS