从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Set a configurable maximum payload size for the message decoder and add an invalid message handler to catch invalid messages #113 - 描述:gRPC message decoder 使用默认的 HTTP/2 运输允许的默认最大限制(2^32 字节)。默认的最大值应该更小且可配置。这可以用来消耗服务器或客户端的内存,并引用为 CVE-2024-8391。 2. 修复措施: - 更改: - 添加选项以配置最大消息大小,并为客户端和服务器使用较低的默认值(256KB)。 - 在 GrpcReadStream 上添加无效消息处理器,以捕获无效消息报告并让应用程序恢复无效消息。无效消息处理器可以由容量溢出或解码器异常触发。 - 结果: - gRPC 服务器和客户端现在使用较小的默认最大消息大小,可以根据应用程序需求进行配置。无效消息处理器也可以设置来捕获无效消息。 3. 标签: - 标签:bug 4. 里程碑: - 里程碑:4.5.10 5. 状态: - 状态:已关闭 6. 参与人员: - 参与者:1 人 7. 代码提交: - 代码提交:Set a configurable maximum payload size for the message decoder and a... (a76b14a) 这些信息表明,该漏洞与 gRPC 消息解码器的默认最大消息大小有关,并且修复了这个问题,增加了无效消息处理器来捕获无效消息。