Уязвимость паники приложения из-за неконтролируемой рекурсии в "Reader.Read" в "compress/gzip" в Go
Описание
Неконтролируемая рекурсия в Reader.Read в compress/gzip в Go позволяет злоумышленнику вызвать панику программы из-за исчерпания стека. Это происходит при обработке архива, содержащего большое количество объединённых сжатых файлов длиной 0.
Затронутые версии ПО
- Go версии до 1.17.12
- Go версии до 1.18.4
Тип уязвимости
Паника (аварийное завершение работы) программы
Ссылки
- PatchVendor Advisory
- Issue TrackingVendor Advisory
- Mailing ListPatchVendor Advisory
- Mailing ListVendor Advisory
- Vendor Advisory
- PatchVendor Advisory
- Issue TrackingVendor Advisory
- Mailing ListPatchVendor Advisory
- Mailing ListVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17. ...
Uncontrolled recursion in Reader.Read in compress/gzip before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via an archive containing a large number of concatenated 0-length compressed files.
EPSS
7.5 High
CVSS3