erlang-jose易受通过大p2c值导致的拒绝服务攻击
漏洞概述
- CVE编号:CVE-2023-50966
- 漏洞类型:拒绝服务
- 严重程度:中等(CVSS评分5.3)
- 影响范围:erlang-jose 1.11.6及之前版本
- 修复版本:1.11.7
技术细节
erlang-jose(也称为Erlang和Elixir的JOSE实现)在1.11.6及之前版本中存在安全漏洞,攻击者可通过在JOSE头部使用大的p2c(PBES2计数)值,导致CPU资源过度消耗,从而造成拒绝服务攻击。
影响评估
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:不需要
- 机密性影响:无
- 完整性影响:无
- 可用性影响:低
解决方案
用户应升级到erlang-jose 1.11.7或更高版本以修复此漏洞。
参考链接
弱点分类
- CWE标识:CWE-400(不受控制的资源消耗)
- GHSA ID:GHSA-9mg4-v392-8j68
该漏洞由安全分析师maennchen发现并报告,相关修复已由维护者在提交718d213中实现。
