CVE-2023-3603
NiskieCVSS 3.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 51 — wyżej niż 51% wszystkich znanych CVE
Streszczenie
Brak sprawdzenia alokacji w serwerze SFTP podczas przetwarzania żądań odczytu może prowadzić do dereferencji NULL w warunkach niskiej pamięci. Złośliwy klient może zażądać odczytów SFTP do 4 GB, co może spowodować alokację buforów do 4 GB bez sprawdzenia błędów.
Ocena ryzyka
Może to spowodować awarię połączenia serwera SFTP użytkownika z autoryzacją, co w przypadku serwerów opartych na wątkach może prowadzić do odmowy usługi dla legalnych użytkowników.
Rekomendacja
Zaleca się monitorowanie i aktualizację serwera SFTP, aby uniknąć potencjalnych problemów związanych z alokacją pamięci w przyszłych wersjach.
Oryginalny opis (angielski, źródło NVD)
A missing allocation check in sftp server processing read requests may cause a NULL dereference on low-memory conditions. The malicious client can request up to 4GB SFTP reads, causing allocation of up to 4GB buffers, which was not being checked for failure. This will likely crash the authenticated user's sftp server connection (if implemented as forking as recommended). For thread-based servers, this might also cause DoS for legitimate users. Given this code is not in any released versions, no security releases have been issued.

