GLSA 202408-31: protobuf, protobuf-python: Denial of Service

Опасность:средняя
Заголовок:protobuf, protobuf-python: Denial of Service
Дата:12.08.2024
Ошибки: #872434
ID:202408-31

Сводка

A vulnerability has been discovered in protobuf and protobuf-python, which can lead to a denial of service.

Назначение

Google's Protocol Buffers are an extensible mechanism for serializing structured data.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-python/protobuf-python < 3.19.6 >= 3.19.6 All supported architectures
dev-libs/protobuf < 3.20.3 >= 3.20.3 All supported architectures

Описание

A vulnerability has been discovered in protobuf and protobuf-python. Please review the CVE identifiers referenced below for details.

Воздействие

A parsing vulnerability for the MessageSet type can lead to out of memory failures. A specially crafted message with multiple key-value per elements creates parsing issues, and can lead to a Denial of Service against services receiving unsanitized input.

Обход

There is no known workaround at this time.

Решение

All protobuf and protobuf-python users should upgrade to the latest version:

          # emerge --sync
          # emerge --ask --oneshot --verbose ">=dev-libs/protobuf-3.20.3"
          # emerge --ask --oneshot --verbose ">=dev-python/protobuf-python-3.19.6"
        

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-202408-31.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!