Hashicorp kasasında kritik bir hizmet reddi güvenlik açığı, kötü niyetli aktörlerin özel olarak hazırlanmış JSON yükleri ile sunucuları ezmesine izin vererek aşırı kaynak tüketimine ve tonoz örneklerini tepkisiz hale getirebilir.
CVE-2025-6203 olarak izlenen ve 28 Ağustos 2025’te yayınlanan Kusur, 1.15.0 sürümünden birkaç yamalı sürüme kadar hem Vault topluluğunu hem de kurumsal sürümleri etkiler.
Operatörler, sorunu azaltmak için Vault 1.20.3 (Topluluk ve İşletme), 1.19.9, 1.18.14 veya 1.16.25’e yükseltme istenir.
Bellek tabanlı DOS güvenlik açığı
Vault’un denetim cihazları, isteği tamamlamadan önce her istek etkileşimini günlüğe kaydetmekten sorumludur.
Kötü niyetli bir kullanıcı, varsayılan Max_Request_Size Limitini (varsayılan olarak 32 MIB) karşılayan bir yük gönderebilir, ancak denetim subroutininde aşırı CPU ve bellek kullanımını zorlamak için derin iç içe JSON yapılarını veya aşırı girişlerden yararlanır.
JSON ayrıştırıcısı uzun dize değerleri veya yüksek nesne giriş sayıları, bellek tüketimi sivri, zaman aşımlarını tetiklerken ve kasa sunucusunun tepki vermemesine neden olur.
Hashicorp, küfürlü JSON yüklerine karşı kasayı daha da sertleştirmek için yeni dinleyici yapılandırma seçenekleri sundu. TCP dinleyicisi şimdi şu şekilde yapılandırılabilir:
- Max_json_depth: JSON nesneleri için maksimum yuvalama derinliği.
- Max_json_string_value_length: Dize değerleri için maksimum uzunluk.
- Max_json_object_entry_count: Bir nesnedeki maksimum anahtar/değer çifti sayısı.
- Max_json_array_element_count: JSON dizisindeki maksimum öğeler.
Operatörler, dinleyici parametreleri ve kasa yükseltme kılavuzu için API belgesinde ayrıntılı rehberlik bulabilir.
Hashicorp, Darrell Bethea’nın, Ph.D.’nin gerçekten de bu kırılganlığı sorumlu bir şekilde bildirdiği için kabul ediyor.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Vault Topluluğu ve Vault Enterprise 1.15.0 ila 1.20.2, 1.19.8, 1.18.13 ve 1.16.24 |
| Darbe | Hizmet reddi |
| Önkoşuldan istismar | Vault dinleyicisine ağ erişimi; HTTP API isteklerini hazırlanmış JSON yükleriyle gönderme yeteneği |
| CVSS 3.1 puanı | 7.5 (yüksek) |
Hafifletme
CVE-2025-6203’ü düzeltmek için, müşteriler yamalı sürümlerden birine yükseltilmelidir: Vault Community Edition 1.20.3 veya Vault Enterprise Editions 1.20.3, 1.19.9, 1.18.14 veya 1.16.25.
Yükseltme, JSON yük karmaşıklığı üzerinde yerleşik sınırlar sağlayacak ve hizmet reddini tetikleyen aşırı tekrarlamayı önleyecektir.
Yöneticiler ayrıca Max_Request_Size ayarlarını gözden geçirmeye ve derinlemesine bir savunma stratejisinin bir parçası olarak JSON ayrıştırmasına dinleyici düzeyinde kısıtlamalar uygulamaya teşvik edilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.