La solicitud de cierre de sesión cierra una sesión conectada. En ese mensaje también se envía un indicador deleteSubscription que determina si el servidor debe guardar las suscripciones para una futura reconexión de sesión o descartarlas al finalizar la sesión. Si el indicador deleteSubscription es Falso, el servidor almacenará las suscripciones y, por lo tanto, llenará la memoria de manera ilimitada.
El envío de múltiples solicitudes de suscripción con múltiples elementos monitoreados de múltiples sesiones llenará rápidamente la memoria del proceso hasta que el servidor se bloquee.
Para activar este error, todo lo que se necesita es crear muchas sesiones con suscripciones y elementos monitoreados sin eliminar los elementos monitoreados. Con el tiempo, estas asignaciones consumirán toda la memoria de proceso disponible, lo que provocará un bloqueo y una condición de denegación de servicio.
CVE-2022-25897
Eclipse
Paquete Milo
7.5
Team82 se compromete a informar de manera privada las vulnerabilidades a los proveedores afectados de manera coordinada y oportuna para garantizar la seguridad del ecosistema de ciberseguridad en todo el mundo. Para interactuar con el proveedor y la comunidad de investigación, Team82 lo invita a descargar y compartir nuestra Política de Divulgación Coordinada. Team82 cumplirá con este proceso de informe y divulgación cuando descubramos vulnerabilidades en productos y servicios.
Team82 también ha puesto a disposición su Clave pública de PGP para que el proveedor y la comunidad de investigación intercambien de manera segura la información de vulnerabilidad e investigación con nosotros.
