Vigil@nce - Node.js ws : déni de service via websocket
août 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut envoyer un message d’au moins 256Mo via une
"websocket" de Node.js ws, afin de tuer le serveur.
Produits concernés : Fedora, Node.js Modules non exhaustif.
Gravité : 2/4.
Date création : 27/06/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le module ws peut être installé sur Node.js.
Il s’agit d’une mise en oeuvre du protocole WebSocket sur HTTP.
Cependant, il ne peut gérer des messages de 256 Mo ou plus. Un
message de cette taille provoque une exception fatale dans le
processus serveur.
Un attaquant peut donc envoyer un message d’au moins 256Mo via une
"websocket" de Node.js ws, afin de tuer le serveur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Node-js-ws-deni-de-service-via-websocket-19976