当使用非允许的方法请求资源时启用中间件会导致 aiohttp 内存泄漏(CVE-2024-52303)
CVE编号
CVE-2024-52303
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-19
漏洞描述
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。在 3.10.6 版本及之前的版本,当请求产生 MatchInfoError 时可能会发生内存泄漏。这是由于每次请求都会在缓存中添加一个条目,每个 MatchInfoError 的构建都会产生一个唯一的缓存条目所导致的。攻击者可以通过发送大量(数十万到数百万)此类请求来耗尽服务器的内存资源。使用 aiohttp.web 的任何中间件的用户应升级到 3.10.11 版本以接收补丁。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/aio-libs/aiohttp/commit/bc15db61615079d1b6327ba42c682f758fa96936 | |
| https://github.com/aio-libs/aiohttp/security/advisories/GHSA-27mf-ghqm-j3j8 |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 系统 | debian_11 | python-aiohttp | * | Up to (excluding) 3.7.4-1 |
|||||
| 运行在以下环境 | |||||||||
| 系统 | debian_12 | python-aiohttp | * | Up to (excluding) 3.8.4-1 |
|||||
文章评论