Уязвимость безграничного выделения памяти в функции "Reader.Read" при обработке заголовков файлов в архивах
Описание
Функция Reader.Read не устанавливает ограничение на максимальный размер заголовков файлов. Это позволяет злоумышленнику создать специально сформированный архив, который приводит к неограниченному выделению памяти. В результате может произойти истощение ресурсов или паника.
Тип уязвимости
- Истощение ресурсов
- Паника
Способы защиты
После исправления в Reader.Read максимальный размер блоков заголовков ограничен до 1 МБ.
Ссылки
- Patch
- Issue TrackingThird Party Advisory
- Mailing ListRelease Notes
- Vendor Advisory
- Patch
- Issue TrackingThird Party Advisory
- Mailing ListRelease Notes
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
Reader.Read does not set a limit on the maximum size of file headers. A maliciously crafted archive could cause Read to allocate unbounded amounts of memory, potentially causing resource exhaustion or panics. After fix, Reader.Read limits the maximum size of header blocks to 1 MiB.
Reader.Read does not set a limit on the maximum size of file headers. A maliciously crafted archive could cause Read to allocate unbounded amounts of memory, potentially causing resource exhaustion or panics. After fix, Reader.Read limits the maximum size of header blocks to 1 MiB.
Reader.Read does not set a limit on the maximum size of file headers. ...
Reader.Read does not set a limit on the maximum size of file headers. A maliciously crafted archive could cause Read to allocate unbounded amounts of memory, potentially causing resource exhaustion or panics. After fix, Reader.Read limits the maximum size of header blocks to 1 MiB.
EPSS
7.5 High
CVSS3