1.漏洞描述 在grps-js中发现了一个缺陷，它完全用JavaScript实现gRPC的核心功能，没有C++插件。在版本1.10.9、1.9.15和1.8.22之前，有两个独立的代码路径，其中可以为超过grp.max_receive_message_length通道选项的每条消息分配内存。如果传入消息在线路上的大小大于配置的限制，则在丢弃整个消息之前会对其进行缓冲。如果传入消息的大小在线路上的限制范围内，但解压缩到大于限制的大小，则会将整个消息解压缩到内存中，并且不会丢弃服务器上的消息。此问题已在1.10.9、1.9.15和1.8.22版本中进行了修补。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP1 不影响 银河麒麟高级服务器操作系统 V10 SP2 不影响 银河麒麟高级服务器操作系统 V10 SP3 不影响 银河麒麟高级服务器操作系统（Host版）V10 不影响 银河麒麟高级服务器操作系统 V10 HPC 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309a 不影响 银河麒麟云底座操作系统 V10 不影响 银河麒麟高级服务器操作系统 V10 SP3 2309b 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2024-37168 中等 5.3 其他 漏洞评分向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 4.修复方案 无需修复