关键信息 漏洞描述 漏洞编号: CVE-2024-8939 公开日期: 2024年9月17日 最近更新日期: 2024年9月18日 严重性: 中等 描述: 在ilab模型服务组件中发现的漏洞,当best_of参数在vllm JSON web API中处理不当,可能导致服务拒绝(DoS)。API用于LLM基句子或聊天完成接受best_of参数以返回最佳完成选项。当此参数设置为大值时,API不正确处理超时或资源耗尽,允许攻击者通过消耗系统资源导致DoS,导致API变得无响应,阻止合法用户访问服务。 声明 漏洞分类: 中等严重性,因为其影响取决于API暴露于本地主机之外。 影响: 可能导致服务拒绝(DoS),但主要影响局限于API可外部访问的服务器环境。 缓解措施: 目前没有可用或适用的缓解措施。 补充信息 Bugzilla: Bugzilla 2312782 CWE: CWE-400 FAQ: 关于CVE-2024-8939的常见问题解答 影响的软件包和Red Hat安全补丁 受影响的软件包: RHEL AI (RHEL AI) 受影响的组件: rhelai/boottc-nvidia-rhel9, rhelai/instructlab-nvidia-rhel9 CVSS评分 CVSS v3 Base Score: 6.2 攻击向量: Local 攻击复杂性: Low 特权要求: None 用户交互: None 范围: Unchanged 机密性影响: None 完整性影响: None 可用性影响: High 承认 感谢: 感谢Thibault Guittet报告此问题。 常见问题 为什么Red Hat的CVSS v3评分与其他供应商不同? 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布此漏洞的修复? 如果我的产品被列为“无法修复”,我该怎么办? 如果我的产品被列为“修复推迟”,我该怎么办? 什么是缓解措施? 我有Red Hat产品,但不在上述列表中,它是否受影响? 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 版权和更新信息 页面生成时间: 2024年9月18日 版权: 2021年 结论 这个网页截图提供了关于CVE-2024-8939漏洞的详细信息,包括其描述、声明、缓解措施、受影响的软件包、CVSS评分和常见问题。