NVD Vulnerability Detail
Search Exploit, PoC
CVE-2024-43410
Summary

Russh is a Rust SSH client & server library. Allocating an untrusted amount of memory allows any unauthenticated user to OOM a russh server. An SSH packet consists of a 4-byte big-endian length, followed by a byte stream of this length.
After parsing and potentially decrypting the 4-byte length, russh allocates enough memory for this bytestream, as a performance optimization to avoid reallocations later. But this length is entirely untrusted and can be set to any value by the client, causing this much memory to be allocated, which will cause the process to OOM within a few such requests. This vulnerability is fixed in 0.44.1.

Publication Date Aug. 22, 2024, 1:15 a.m.
Registration Date Aug. 26, 2024, 4:58 p.m.
Last Update Aug. 22, 2024, 2:25 a.m.
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
russh project の russh 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Title russh project の russh 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Summary

russh project の russh 等複数ベンダの製品には、制限またはスロットリング無しのリソースの割り当てに関する脆弱性が存在します。

Possible impacts サービス運用妨害 (DoS) 状態にされる可能性があります。
Solution

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Publication Date Aug. 21, 2024, midnight
Registration Date Aug. 14, 2025, 11:08 a.m.
Last Update Aug. 14, 2025, 11:08 a.m.
Affected System
warpgate project
warpgate 0.10.2 未満
russh project
russh 0.44.1 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
Change Log
No Changed Details Date of change
1 [2025年08月14日]
  掲載		 Aug. 14, 2025, 11:08 a.m.