Vulnerabilidad en Wire-server (CVE-2021-41119)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

13/04/2022

Última modificación:

21/04/2022

Descripción

Wire-server es el servidor del sistema para los servicios de back-end de wire. Las versiones anteriores a v2022-03-01, están sujetas a un ataque de denegación de servicio por medio de un objeto diseñado que causa una colisión de hash. Esta colisión hace que el servidor emplee al menos un tiempo cuadrático en analizarlo, lo que puede conllevar a una denegación de servicio para un servidor muy usado. El problema ha sido corregido en wire-server 01-03-2022 y ya está implementado en todos los servicios administrados de Wire. Las instancias locales de wire-server deben actualizarse a versión 01-03-2022, para que sus backends ya no estén afectados. No se presentan medidas de mitigación conocidas para este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico