代码拉取完成,页面将自动刷新
一、漏洞信息
漏洞编号:CVE-2021-22569
漏洞归属组件:google/protobuf
漏洞归属的版本:3.13.0
CVSS V3.0分值:
BaseScore:5.5 Medium
Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
漏洞简述:
An issue in protobuf-java allowed the interleaving of com.google.protobuf.UnknownFieldSet fields in such a way that would be processed out of order. A small malicious payload can occupy the parser for several minutes by creating large numbers of short-lived objects that cause frequent, repeated pauses. We recommend upgrading libraries beyond the vulnerable versions.
漏洞公开时间:2022-01-10 22:10
漏洞创建时间:2022-01-15 09:13:29
漏洞详情参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2021-22569
漏洞分析指导链接:
https://gitee.com/mindspore/community/blob/master/security/cve_issue_template.md
二、漏洞分析结构反馈
影响性分析说明:
该漏洞所涉及的numpy库在minspore仓中使用到MindSpore评分:7.Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
MindSpore评分:
5.5
Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响):
1.master:不受影响
2.v1.5.0:不受影响
3.v1.3.0:不受影响
4.v1.2.0:不受影响
5.v1.5.1:不受影响
6.v1.5.2:不受影响
7.v1.6.0:不受影响
8.v1.6.1:不受影响
@chengxb7532 ,@jxl ,@chenhaozhe ,@zhanghaibo ,@shenwei41 ,@yanghaoran ,@looop5 ,@kyang ,@chengang ,@mindspore_ding ,@ougongchang ,@zhunaipan
issue处理注意事项:
1. 当前issue受影响的分支提交pr时, 须在pr描述中填写当前issue编号进行关联, 否则无法关闭当前issue;
2. 模板内容需要填写完整, 无论是受影响或者不受影响都需要填写完整内容,未引入的分支不需要填写, 否则无法关闭当前issue;
3. 以下为模板中需要填写完整的内容, 请复制到评论区回复, 注: 内容的标题名称(影响性分析说明, MindSpore评分, 受影响版本排查(受影响/不受影响))不能省略,省略后cve-manager将无法正常解析填写内容.
影响性分析说明:
MindSpore评分: (评分和向量)
受影响版本排查(受影响/不受影响):
1.master:
2.v1.5.0:
3.v1.5.0-rc1:
4.v1.5.1:
5.v1.5.2:
issue处理具体操作请参考:
https://gitee.com/mindspore/community/blob/master/security/cve_issue_template.md
pr关联issue具体操作请参考:
https://gitee.com/help/articles/4142
此处可能存在不合适展示的内容,页面不予展示。您可通过相关编辑功能自查并修改。
如您确认内容无涉及 不当用语 / 纯广告导流 / 暴力 / 低俗色情 / 侵权 / 盗版 / 虚假 / 无价值内容或违法国家有关法律法规的内容,可点击提交进行申诉,我们将尽快为您处理。
Please add labels (comp or sig), also you can visit https://gitee.com/mindspore/community/blob/master/sigs/dx/docs/labels.md to find more.
为了让代码尽快被审核,请您为Pull Request打上 组件(comp)或兴趣组(sig) 标签,打上标签的PR可以直接推送给责任人进行审核。
更多的标签可以查看https://gitee.com/mindspore/community/blob/master/sigs/dx/docs/labels.md
以组件相关代码提交为例,如果你提交的是data组件代码,你可以这样评论:
//comp/data
当然你也可以邀请data SIG组来审核代码,可以这样写:
//sig/data
另外你还可以给这个PR标记类型,例如是bugfix或者是特性需求:
//kind/bug or //kind/feature
恭喜你,你已经学会了使用命令来打标签,接下来就在下面的评论里打上标签吧!
changzherui
成员
在 Java 中利用解析未知字段的实现弱点。一种
小的(~800 KB)恶意负载可以占用解析器几分钟
通过创建大量导致频繁的短期对象,
重复的 GC 暂停。
补救和缓解
请更新到以下软件包的最新可用版本:
changzherui
成员
这个问题是jave protobuf的问题,ms不涉及,关闭该问题
@changzherui 请确认分支: master,v1.5.1,v1.5.2,v1.6.0,v1.6.1 受影响/不受影响.
请确认分支信息是否填写完整,否则将无法关闭当前issue.
changzherui
成员
影响性分析说明:
该漏洞所涉及的numpy库在minspore仓中使用到
MindSpore评分:
7.
Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
受影响版本排查(受影响/不受影响):
1.master:不受影响
2.v1.5.0:不受影响
3.v1.3.0:不受影响
4.v1.2.0:不受影响
5.v1.5.1:不受影响
6.v1.5.2:不受影响
7.v1.6.0:不受影响
8.v1.6.1:不受影响
@changzherui 经过 cve-manager 解析, 已分析的内容如下表所示:
| 状态 | 需分析 | 内容 |
|---|---|---|
| 已分析 | 1.影响性分析说明 | 该漏洞所涉及的numpy库在minspore仓中使用到MindSpore评分:7.Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
| 已分析 | 2.MindSporeScore | 5.5 |
| 已分析 | 2.MindSporeVector | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| 已分析 | 3.受影响版本排查 | master:不受影响,v1.5.0:不受影响,v1.3.0:不受影响,v1.2.0:不受影响 |
请确认分析内容的准确性, 确认无误后, 您可以进行后续步骤, 否则您可以继续分析.
@changzherui 请确认分支: v1.5.1,v1.5.2,v1.6.0,v1.6.1 受影响/不受影响.
请确认分支信息是否填写完整,否则将无法关闭当前issue.
changzherui
成员
影响性分析说明:
该漏洞所涉及的numpy库在minspore仓中使用到
MindSpore评分:
7.
Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
受影响版本排查(受影响/不受影响):
1.master:不受影响
2.v1.5.0:不受影响
3.v1.3.0:不受影响
4.v1.2.0:不受影响
5.v1.5.1:不受影响
6.v1.5.2:不受影响
7.v1.6.0:不受影响
8.v1.6.1:不受影响
@changzherui 经过 cve-manager 解析, 已分析的内容如下表所示:
| 状态 | 需分析 | 内容 |
|---|---|---|
| 已分析 | 1.影响性分析说明 | 该漏洞所涉及的numpy库在minspore仓中使用到MindSpore评分:7.Vector:CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N |
| 已分析 | 2.MindSporeScore | 5.5 |
| 已分析 | 2.MindSporeVector | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
| 已分析 | 3.受影响版本排查 | master:不受影响,v1.5.0:不受影响,v1.3.0:不受影响,v1.2.0:不受影响,v1.5.1:不受影响,v1.5.2:不受影响,v1.6.0:不受影响,v1.6.1:不受影响 |
请确认分析内容的准确性, 确认无误后, 您可以进行后续步骤, 否则您可以继续分析.
登录 后才可以发表评论
