CVE-2020-8285

Опубликовано: 14 дек. 2020

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Уязвимость неконтролируемой рекурсии из-за переполнения стека при парсинге совпадений с шаблоном в FTP в curl

Описание

В curl существует уязвимость, связанная с неконтролируемой рекурсией, которая приводит к переполнению стека. Эта проблема возникает при парсинге совпадений с шаблонами подстановки (wildcard) в FTP..

Затронутые версии ПО

curl с версии 7.21.0 до и включая 7.73.0

Тип уязвимости

Неконтролируемая рекурсия
Переполнение стека

Ссылки

http://seclists.org/fulldisclosure/2021/Apr/51
Mailing List
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
Patch
Third Party Advisory
https://curl.se/docs/CVE-2020-8285.html
Vendor Advisory
https://github.com/curl/curl/issues/6255
Exploit
Third Party Advisory
https://hackerone.com/reports/1045844
Permissions Required
https://lists.apache.org/thread.html/r58af02e294bd07f487e2c64ffc0a29b837db5600e33b6e698b9d696b%40%3Cissues.bookkeeper.apache.org%3E
Mailing List
Third Party Advisory
https://lists.apache.org/thread.html/rf4c02775860db415b4955778a131c2795223f61cb8c6a450893651e4%40%3Cissues.bookkeeper.apache.org%3E
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2020/12/msg00029.html
Mailing List
Third Party Advisory
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DAEHE2S2QLO4AO4MEEYL75NB7SAH5PSL/
Mailing List
Third Party Advisory
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NZUVSQHN2ESHMJXNQ2Z7T2EELBB5HJXG/
Mailing List
Third Party Advisory
https://security.gentoo.org/glsa/202012-14
Third Party Advisory
https://security.netapp.com/advisory/ntap-20210122-0007/
Third Party Advisory
https://support.apple.com/kb/HT212325
Third Party Advisory
https://support.apple.com/kb/HT212326
Third Party Advisory
https://support.apple.com/kb/HT212327
Third Party Advisory
https://www.debian.org/security/2021/dsa-4881
Third Party Advisory
https://www.oracle.com//security-alerts/cpujul2021.html
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpuApr2021.html
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpuapr2022.html
Patch
Third Party Advisory
https://www.oracle.com/security-alerts/cpujan2022.html
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:haxx:libcurl:*:*:*:*:*:*:*:*

Версия от 7.21.0 (включая) до 7.74.0 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*

Конфигурация 4

Одно из

cpe:2.3:a:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:hci_management_node:-:*:*:*:*:*:*:*

cpe:2.3:a:netapp:solidfire:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:netapp:hci_bootstrap_os:-:*:*:*:*:*:*:*

cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:netapp:hci_storage_node_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:netapp:hci_storage_node:-:*:*:*:*:*:*:*

Конфигурация 7

Одно из

cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*

Версия до 10.14.6 (исключая)

cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:*

Версия от 10.15 (включая) до 10.15.7 (исключая)

cpe:2.3:o:apple:mac_os_x:10.14.6:-:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2019-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2019-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-002:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-003:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-004:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-005:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-006:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2020-007:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.14.6:security_update_2021-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:-:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2020-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:security_update_2021-001:*:*:*:*:*:*

cpe:2.3:o:apple:mac_os_x:10.15.7:supplemental_update:*:*:*:*:*:*

cpe:2.3:o:apple:macos:*:*:*:*:*:*:*:*

Версия от 11.0 (включая) до 11.3 (исключая)

Конфигурация 8

Одно из

cpe:2.3:a:oracle:communications_billing_and_revenue_management:12.0.0.3.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:communications_cloud_native_core_policy:1.14.0:*:*:*:*:*:*:*

cpe:2.3:a:oracle:essbase:21.2:*:*:*:*:*:*:*

cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.58:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:fujitsu:m10-1_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m10-1:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:fujitsu:m10-4_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m10-4:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:fujitsu:m10-4s_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m10-4s:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:fujitsu:m12-1_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m12-1:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:fujitsu:m12-2_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m12-2:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:fujitsu:m12-2s_firmware:*:*:*:*:*:*:*:*

Версия до xcp2410 (исключая)

cpe:2.3:h:fujitsu:m12-2s:-:*:*:*:*:*:*:*

Конфигурация 15

Одновременно

cpe:2.3:o:fujitsu:m10-1_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m10-1:-:*:*:*:*:*:*:*

Конфигурация 16

Одновременно

cpe:2.3:o:fujitsu:m10-4_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m10-4:-:*:*:*:*:*:*:*

Конфигурация 17

Одновременно

cpe:2.3:o:fujitsu:m10-4s_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m10-4s:-:*:*:*:*:*:*:*

Конфигурация 18

Одновременно

cpe:2.3:o:fujitsu:m12-1_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m12-1:-:*:*:*:*:*:*:*

Конфигурация 19

Одновременно

cpe:2.3:o:fujitsu:m12-2_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m12-2:-:*:*:*:*:*:*:*

Конфигурация 20

Одновременно

cpe:2.3:o:fujitsu:m12-2s_firmware:*:*:*:*:*:*:*:*

Версия до xcp3110 (исключая)

cpe:2.3:h:fujitsu:m12-2s:-:*:*:*:*:*:*:*

Конфигурация 21

cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*

Версия до 1.0.1.1 (исключая)

Конфигурация 22

Одно из

cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*

Версия от 8.2.0 (включая) до 8.2.12 (исключая)

cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.0.6 (исключая)

cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 69%

0.00594

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674

Связанные уязвимости

CVE-2020-8285

CVSS3: 7.5

ubuntu

около 5 лет назад

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.

CVE-2020-8285

CVSS3: 6.5

redhat

около 5 лет назад

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.

CVE-2020-8285

CVSS3: 7.5

msrc

около 5 лет назад

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.

CVE-2020-8285

CVSS3: 7.5

debian

около 5 лет назад

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recu ...

GHSA-4p2h-jggv-23jg

CVSS3: 7.5

github

больше 3 лет назад

curl 7.21.0 to and including 7.73.0 is vulnerable to uncontrolled recursion due to a stack overflow issue in FTP wildcard match parsing.

EPSS

Процентиль: 69%

0.00594

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674