HashiCorp Vault拒绝服务漏洞（CVE-2023-5954）-信息中心

网络安全

当前位置: 部门首页 >> 网络安全 >> 正文

HashiCorp Vault拒绝服务漏洞（CVE-2023-5954）

日期： 2024-02-26 作者： nsfocus 点击数:

发布日期：2023-11-09

更新日期：2024-02-26

受影响系统：

HashiCorp Hashicorp Vault >= 1.15.0

HashiCorp Hashicorp Vault >= 1.14.3

HashiCorp Hashicorp Vault >= 1.13.7

HashiCorp Hashicorp Vault < 1.15.2

HashiCorp Hashicorp Vault < 1.14.6

HashiCorp Hashicorp Vault < 1.13.10

描述：

CVE(CAN) ID: CVE-2023-5954

HashiCorp Vault是美国HashiCorp公司的一款私钥访问管理工具。

HashiCorp Vault 1.15.0至1.15.2之前版本、1.14.3至1.14.6之前版本和1.13.7至1.13.10之前版本存在拒绝服务漏洞，攻击者可利用该漏洞导致无限内存消耗，进而通过发送大量请求造成拒绝服务。

< *链接：https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-un

建议：

厂商补丁：

HashiCorp

---------

HashiCorp已经为此发布了一个安全公告（HCSEC-2023-33）以及相应补丁:

HCSEC-2023-33：HCSEC-2023-33 - Vault Requests Triggering Policy Checks May Lead To Unbounded Memory Consumption

链接：https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

浏览次数：30

严重程度：0（网友投票）