发布日期：2023-11-09
更新日期：2024-02-26

受影响系统：

HashiCorp Hashicorp Vault >= 1.15.0
HashiCorp Hashicorp Vault >= 1.14.3
HashiCorp Hashicorp Vault >= 1.13.7
HashiCorp Hashicorp Vault < 1.15.2
HashiCorp Hashicorp Vault < 1.14.6
HashiCorp Hashicorp Vault < 1.13.10

描述：

---

CVE(CAN) ID: CVE-2023-5954

HashiCorp Vault是美国HashiCorp公司的一款私钥访问管理工具。
HashiCorp Vault 1.15.0至1.15.2之前版本、1.14.3至1.14.6之前版本和1.13.7至1.13.10之前版本存在拒绝服务漏洞，攻击者可利用该漏洞导致无限内存消耗，进而通过发送大量请求造成拒绝服务。

<*链接：https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-un
*>

建议：

---

厂商补丁：

HashiCorp
---------
HashiCorp已经为此发布了一个安全公告（HCSEC-2023-33）以及相应补丁:
HCSEC-2023-33：HCSEC-2023-33 - Vault Requests Triggering Policy Checks May Lead To Unbounded Memory Consumption
链接：https://discuss.hashicorp.com/t/hcsec-2023-33-vault-requests-triggering-policy-checks-may-lead-to-unbounded-memory-consumption/59926

浏览次数：356
严重程度：0（网友投票）