漏洞标题
N/A
漏洞描述信息
在0.35.2之前的eventlet,如在dnspython 2.6.0之前的版本中使用,允许远程攻击者通过从期望的IP地址和源端口快速发送无效的数据包来干扰DNS名称解析,即所谓的“TuDoor”攻击。换句话说,dnspython没有首选的行为,即DNS名称解析算法会在完整的时间窗口内继续进行,以便等待有效的数据包。注意:由于2.6.1中解决的另一个原因,dnspython 2.6.0无法使用。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
N/A
漏洞描述信息
eventlet before 0.35.2, as used in dnspython before 2.6.0, allows remote attackers to interfere with DNS name resolution by quickly sending an invalid packet from the expected IP address and source port, aka a "TuDoor" attack. In other words, dnspython does not have the preferred behavior in which the DNS name resolution algorithm would proceed, within the full time window, in order to wait for a valid packet. NOTE: dnspython 2.6.0 is unusable for a different reason that was addressed in 2.6.1.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Eventlet 安全漏洞
漏洞描述信息
Eventlet是Python的一个并发网络库。 Eventlet 0.35.2之前版本存在安全漏洞,该漏洞源于允许远程攻击者通过从预期的IP地址和源端口快速发送无效数据包来干扰DNS名称解析。
CVSS信息
N/A
漏洞类别
其他