Die Anforderung zum Schließen der Sitzung schließt eine verbundene Sitzung. In dieser Nachricht wird auch ein Löschabonnement-Flag gesendet und bestimmt, ob der Server die Abonnements für eine zukünftige Sitzungswiederverbindung speichern oder nach Beendigung der Sitzung verwerfen soll. Wenn das Löschabonnement-Flag „Falsch“ lautet, speichert der Server die Abonnements und füllt so den Speicher unbegrenzt auf.
Das Senden mehrerer Abonnementanfragen mit mehreren überwachten Elementen aus mehreren Sitzungen füllt den Prozessspeicher schnell auf, bis der Server abstürzt.
Um diesen Fehler auszulösen, ist es notwendig, viele Sitzungen mit Abonnements und überwachten Elementen zu erstellen, ohne die überwachten Elemente jemals zu löschen. Letztendlich verbrauchen diese Zuweisungen den gesamten verfügbaren Prozessspeicher, was zu einem Absturz und einer Denial-of-Service-Bedingung führt.
CVE-2022-25897
Eclipse
Milo-Paket
7.5
Team82 hat sich verpflichtet, die betroffenen Anbieter in einer koordinierten, zeitnahen Weise privat über Schwachstellen zu informieren, um die Sicherheit des Cybersicherheits-Ökosystems weltweit zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und weiterzugeben. Team82 wird diesen Melde- und Offenlegungsprozess einhalten, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat auch seinen öffentlichen PGP-Schlüssel für Anbieter und Forschungsgemeinschaften zur Verfügung gestellt, um Schwachstellen und Forschungsinformationen sicher und sicher mit uns auszutauschen.
