このウェブページのスクリーンショットから、脆弱性に関する以下の重要情報を取得できます。 1. 脆弱性の説明: - タイトル:メッセージデコーダの設定可能な最大ペイロードサイズを設定し、無効なメッセージをキャッチする無効メッセージハンドラを追加する #113 - 説明:gRPC メッセージデコーダは、デフォルトの HTTP/2 転送で許可されるデフォルトの最大制限(2^32 バイト)を使用しています。デフォルトの最大値はより小さく、かつ設定可能であるべきです。これはサーバーまたはクライアントのメモリを消費するために悪用可能であり、CVE-2024-8391 として参照されています。 2. 修正措置: - 変更内容: - 最大メッセージサイズを設定するためのオプションを追加し、クライアントとサーバーのデフォルト値を低い値(256KB)に設定。 - GrpcReadStream に無効メッセージハンドラを追加し、無効なメッセージレポートをキャッチしてアプリケーションが無効なメッセージから回復できるようにする。無効メッセージハンドラは、キャパシティオーバーフローまたはデコーダ例外によってトリガーされる可能性があります。 - 結果: - gRPC サーバーとクライアントは現在、より小さいデフォルトの最大メッセージサイズを使用しており、アプリケーションの要件に応じて構成可能です。また、無効なメッセージをキャッチするために無効メッセージハンドラを設定することもできます。 3. タグ: - タグ:バグ 4. マイルストーン: - マイルストーン:4.5.10 5. ステータス: - ステータス:クローズ 6. 関係者: - 参加者:1 名 7. コードコミット: - コミットメッセージ:Set a configurable maximum payload size for the message decoder and a... (a76b14a) これらの情報は、この脆弱性が gRPC メッセージデコーダのデフォルトの最大メッセージサイズに関連しており、この問題が修正され、無効なメッセージをキャッチするための無効メッセージハンドラが追加されたことを示しています。