ReDoS vulnerability in header parsing in hawk 漏洞信息(CVE-2022-29167)

一、漏洞 CVE-2022-29167 基础信息

漏洞标题

重DoS漏洞在hawk中的头解析

来源：AIGC 神龙大模型

漏洞描述信息

Hawk头部解析中的ReDoS漏洞

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

ReDoS vulnerability in header parsing in hawk

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Hawk is an HTTP authentication scheme providing mechanisms for making authenticated HTTP requests with partial cryptographic verification of the request and response, covering the HTTP method, request URI, host, and optionally the request payload. Hawk used a regular expression to parse `Host` HTTP header (`Hawk.utils.parseHost()`), which was subject to regular expression DoS attack - meaning each added character in the attacker's input increases the computation time exponentially. `parseHost()` was patched in `9.0.1` to use built-in `URL` class to parse hostname instead. `Hawk.authenticate()` accepts `options` argument. If that contains `host` and `port`, those would be used instead of a call to `utils.parseHost()`.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

未加控制的资源消耗(资源穷尽)

来源：美国国家漏洞数据库 NVD

漏洞标题

hawk 资源管理错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

hawk是Mozilla基金会的一个 HTTP 密钥持有者身份验证方案。 hawk 9.0.1版本之前存在安全漏洞，该漏洞源于hawk使用正则表达式解析 HTTP 标头，攻击者利用该漏洞可导致正则表达式所引发的Dos攻击（ReDoS）。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

资源管理错误

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-29167 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-29167 的情报信息

https://github.com/mozilla/hawk/security/advisories/GHSA-44pw-h2cw-w3vq x_refsource_CONFIRM
https://github.com/mozilla/hawk/pull/286 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-29167

一、 漏洞 CVE-2022-29167 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-29167 的公开POC

三、漏洞 CVE-2022-29167 的情报信息

一、漏洞 CVE-2022-29167 基础信息