Vulnerabilidad en Sandstorm Cap’n Proto (CVE-2015-2313)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
09/08/2017
Última modificación:
20/04/2025
Descripción
Sandstorm Cap’n Proto en versiones anteriores a la 0.4.1.1 y en versiones 0.5.x anteriores a la 0.5.1.2, cuando una aplicación invoca el método totalSize en un lector de objetos, permite que pares remotos provoquen una denegación de servicio (consumo de CPU) mediante un mensaje pequeño manipulado, que desencadena un "tight" en bucle. NOTA: Esta vulnerabilidad existe debido a una solución incompleta para CVE-2015-2312.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:capnproto:capnproto:*:*:*:*:*:*:*:* | 0.4.1.0 (incluyendo) | |
| cpe:2.3:a:capnproto:capnproto:0.5.0.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:capnproto:capnproto:0.5.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:capnproto:capnproto:0.5.1.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2015/03/17/3
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=780568
- https://github.com/capnproto/capnproto/blob/master/security-advisories/2015-03-05-0-c%2B%2B-addl-cpu-amplification.md
- https://github.com/capnproto/capnproto/commit/80149744bdafa3ad4eedc83f8ab675e27baee868
- http://www.openwall.com/lists/oss-security/2015/03/17/3
- https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=780568
- https://github.com/capnproto/capnproto/blob/master/security-advisories/2015-03-05-0-c%2B%2B-addl-cpu-amplification.md
- https://github.com/capnproto/capnproto/commit/80149744bdafa3ad4eedc83f8ab675e27baee868