CVE-2022-24921

Опубликовано: 05 мар. 2022

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Уязвимость истощения стека через глубоко вложенные выражения в "regexp.Compile" в Go

Описание

В regexp.Compile в Go присутствует уязвимость, связанная с истощением стека. Эта уязвимость может быть использована злоумышленником посредством глубоко вложенных выражений.

Затронутые версии ПО

Go версии до 1.16.15
Go версии 1.17.x до 1.17.8

Тип уязвимости

Истощение стека (stack exhaustion)

Ссылки

https://cert-portal.siemens.com/productcert/pdf/ssa-744259.pdf
https://groups.google.com/g/golang-announce/c/RP1hfrBYVuk
Issue Tracking
Mailing List
Release Notes
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.gentoo.org/glsa/202208-02
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220325-0010/
Third Party Advisory
https://cert-portal.siemens.com/productcert/pdf/ssa-744259.pdf
https://groups.google.com/g/golang-announce/c/RP1hfrBYVuk
Issue Tracking
Mailing List
Release Notes
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/04/msg00017.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2022/04/msg00018.html
Mailing List
Third Party Advisory
https://lists.debian.org/debian-lts-announce/2023/04/msg00021.html
https://security.gentoo.org/glsa/202208-02
Third Party Advisory
https://security.netapp.com/advisory/ntap-20220325-0010/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.16.15 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.17 (включая) до 1.17.8 (исключая)

Конфигурация 2

cpe:2.3:a:netapp:astra_trident:-:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*

EPSS

Процентиль: 1%

0.00014

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674

Связанные уязвимости

CVE-2022-24921

CVSS3: 7.5

ubuntu

больше 3 лет назад

regexp.Compile in Go before 1.16.15 and 1.17.x before 1.17.8 allows stack exhaustion via a deeply nested expression.

CVE-2022-24921

CVSS3: 7.5

redhat

больше 3 лет назад

regexp.Compile in Go before 1.16.15 and 1.17.x before 1.17.8 allows stack exhaustion via a deeply nested expression.

CVE-2022-24921

CVSS3: 7.5

msrc

больше 3 лет назад

Описание отсутствует

CVE-2022-24921

CVSS3: 7.5

debian

больше 3 лет назад

regexp.Compile in Go before 1.16.15 and 1.17.x before 1.17.8 allows st ...

SUSE-SU-2022:1167-1

suse-cvrf

около 3 лет назад

Security update for go1.17

EPSS

Процентиль: 1%

0.00014

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-674