Peringatan Ancaman

Sebuah kerentanan kritis, CVE-2025-59789, ditemukan di Apache bRPC yang dapat membuat server crash hanya dengan mengirimkan JSON yang sangat dalam dan kompleks dari jarak jauh. Kerentanan ini ada di komponen json2pb, yang menggunakan rapidjson dengan cara parsing rekursif tanpa batas kedalaman yang aman. Ketika penyerang mengirim struktur JSON yang sangat dalam (deeply nested), stack akan habis (stack exhaustion) dan proses bRPC bisa langsung jatuh, menyebabkan gangguan layanan.​

Apa yang terjadi pada Apache bRPC

Masalah utama berada pada cara bRPC memproses request HTTP+JSON yang datang dari sumber eksternal. Parser JSON berjalan dengan rekursi mendalam untuk setiap level objek/array di dalam JSON. Tanpa batas kedalaman, JSON yang sengaja dibuat “terlalu dalam” akan mendorong call stack ke titik maksimal dan memicu crash. Ini menjadikan bRPC rentan terhadap serangan DoS (Denial of Service) dari jarak jauh, cukup lewat satu payload JSON yang sudah direkayasa.​

Kerentanan ini sangat berisiko di lingkungan bRPC yang dipakai di sistem berperforma tinggi seperti mesin pencari, layanan penyimpanan (storage), dan platform machine learning yang menerima traffic HTTP+JSON dari luar. Di skenario tersebut, satu request berbahaya bisa menjatuhkan service penting yang melayani banyak client sekaligus.​

Dampak bagi sistem produksi

Jika celah ini dieksploitasi, penyerang tidak perlu otentikasi untuk membuat layanan bRPC berhenti merespons. Akibatnya:

• Layanan kritikal yang bergantung pada bRPC bisa down, memicu downtime aplikasi, antrian job macet, atau gangguan layanan bagi pengguna akhir.

• Di lingkungan microservices atau big data, crash berulang dapat mengganggu pipeline pemrosesan, SLA, dan stabilitas cluster secara keseluruhan.

• Karena sifatnya crash/DoS, fokus utamanya adalah ketersediaan (availability), namun pada skala besar tetap bisa berujung pada kerugian bisnis yang signifikan.​

Perbaikan dan versi aman

Kerentanan ini telah diperbaiki di rilis terbaru Apache bRPC melalui penambahan batas kedalaman rekursi saat parsing JSON. Secara default, batas ini diset ke kedalaman 100 level, sehingga JSON yang terlalu dalam akan ditolak sebelum sempat menghabiskan stack. Pengembang tetap dapat menyesuaikan nilai ini jika ada workflow sah yang memang butuh JSON sangat dalam, namun disarankan meninjau ulang kebutuhan tersebut dengan kacamata keamanan.​

Disarankan kuat untuk mengupdate deployment Apache bRPC ke versi 1.15.0 atau yang lebih baru, karena di versi inilah mitigasi pembatasan kedalaman rekursi telah diintegrasikan. Sistem yang masih berada di bawah versi ini lebih rentan terhadap serangan DoS via payload JSON nested.​

Rekomendasi untuk admin dan developer

• Segera upgrade Apache bRPC ke versi 1.15.0 atau lebih tinggi di seluruh environment (dev, staging, production).

• Jika mengubah batas kedalaman rekursi, lakukan uji beban dan uji keamanan untuk memastikan kombinasi “cukup tinggi untuk kebutuhan aplikasi” tapi tetap aman dari payload berbahaya.

• Batasi ekspos endpoint bRPC yang menerima HTTP+JSON hanya dari sumber tepercaya, misalnya lewat firewall, API gateway, atau mTLS.

• Tambahkan pemantauan khusus untuk crash berulang/abrupt exit pada layanan bRPC dan alert jika terjadi pola request dengan JSON sangat dalam yang mencurigakan.

Referensi

• Apache mailing list / security advisory: deskripsi resmi CVE-2025-59789 tentang stack exhaustion akibat rekursi JSON parser di bRPC dan mitigasi dengan depth limit.​

• Ringkasan berita keamanan: artikel yang membahas “CVE-2025-59789 – critical flaw in Apache bRPC framework exposes high‑performance systems to crash risks” beserta saran update ke bRPC 1.15.0.