Vulnerabilidad en los usuarios con endpoints públicos de transporte TCP con CURVE/ZAP en ZeroMQ (CVE-2020-15166)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
11/09/2020
Última modificación:
07/11/2023
Descripción
En ZeroMQ versiones anteriores a 4.3.3, se presenta una vulnerabilidad de denegación de servicio. Los usuarios con endpoints públicos de transporte TCP, incluso con CURVE/ZAP habilitado, están afectados. Si es abierto un socket TCP sin procesar y es conectado a un endpoint que está completamente configurado con CURVE/ZAP, los clientes legítimos no podrán ser capaces de intercambiar ningún mensaje. Los Protocolos de Enlace se completan correctamente y los mensajes son enviados a la biblioteca, pero la aplicación del servidor nunca los recibe. Esto está parcheado en la versión 4.3.3
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:zeromq:libzmq:*:*:*:*:*:*:*:* | 4.3.3 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/zeromq/libzmq/pull/3913
- https://github.com/zeromq/libzmq/pull/3973
- https://github.com/zeromq/libzmq/security/advisories/GHSA-25wp-cf8g-938m
- https://lists.debian.org/debian-lts-announce/2020/11/msg00017.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BZ5IMNQXDB52JFBXHFLK4AHVORFELNNG/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/YFW2ZELCCPS4VLU4OSJOH5YL6KFKTFYW/
- https://security.gentoo.org/glsa/202009-12