CVE-2021-39293

Опубликовано: 24 янв. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

In archive/zip in Go before 1.16.8 and 1.17.x before 1.17.1, a crafted archive header (falsely designating that many files are present) can cause a NewReader or OpenReader panic. NOTE: this issue exists because of an incomplete fix for CVE-2021-33196.

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf
https://groups.google.com/g/golang-announce/c/dx9d7IOseHw
Issue Tracking
Release Notes
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.netapp.com/advisory/ntap-20220217-0009/
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf
https://groups.google.com/g/golang-announce/c/dx9d7IOseHw
Issue Tracking
Release Notes
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.netapp.com/advisory/ntap-20220217-0009/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.16.8 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.17.0 (включая) до 1.17.1 (исключая)

Конфигурация 2

cpe:2.3:a:netapp:cloud_insights_telegraf:-:*:*:*:*:*:*:*

EPSS

Процентиль: 2%

0.00016

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-770

Связанные уязвимости

CVE-2021-39293

CVSS3: 7.5

ubuntu

больше 3 лет назад

CVE-2021-39293

CVSS3: 7.5

redhat

почти 4 года назад

CVE-2021-39293

CVSS3: 7.5

debian

больше 3 лет назад

In archive/zip in Go before 1.16.8 and 1.17.x before 1.17.1, a crafted ...

openSUSE-SU-2021:3292-1

suse-cvrf

больше 3 лет назад

Security update for go1.16

openSUSE-SU-2021:1342-1

suse-cvrf

больше 3 лет назад

Security update for go1.16

EPSS

Процентиль: 2%

0.00016

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-770