ALT-PU-2025-3875-3

Обновление пакета grpc в ветке sisyphus

Версия1.70.1-alt1

Задание#372112

Опубликовано2026-02-04

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (3)

MEDIUM5.3

Уязвимость системы удалённого вызова процедур Google gRPC, связанная с недостаточной проверкой вводимых данных и некорректной реализацией функций, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2023-09-08

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

CVE-2023-32731

HIGH7.5

When gRPC HTTP2 stack raised a header size exceeded error, it skipped parsing the rest of the HPACK frame. This caused any HPACK table mutations to also be skipped, resulting in a desynchronization of HPACK tables between sender and receiver. If leveraged, say, between a proxy and a backend, this could lead to requests from the proxy being interpreted as containing headers from different proxy clients - leading to an information leak that can be used for privilege escalation or data exfiltration. We recommend upgrading beyond the commit contained in https://github.com/grpc/grpc/pull/33005 https://github.com/grpc/grpc/pull/33005

Опубликовано: 2023-06-09Изменено: 2024-11-21

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Ссылки

GHSA-cfgp-2977-2fmm

HIGH7.4

Connection confusion in gRPC

Опубликовано: 2023-07-05Изменено: 2025-08-13

CVSS 3.xВЫСОКАЯ 7.4

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H

Ссылки