Уязвимость бесконечного зацикливания в "Read" в "crypto/rand" в Go на Windows при передаче слишком большого буфера
Описание
Уязвимость бесконечного цикла в функции Read в crypto/rand в Windows-версии Go позволяет злоумышленнику вызывать бесконечное зависание программы, передавая буфер размером более 1 << 32 - 1 байт.
Затронутые версии ПО
- До релиза Go 1.17.11
- До релиза Go 1.18.3
Тип уязвимости
Бесконечный цикл (infinite loop)
Ссылки
- Patch
- ExploitIssue Tracking
- Mailing ListPatch
- Mailing ListThird Party Advisory
- Third Party Advisory
- Patch
- ExploitIssue Tracking
- Mailing ListPatch
- Mailing ListThird Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Одновременно
Одно из
EPSS
7.5 High
CVSS3
Дефекты
Связанные уязвимости
Infinite loop in Read in crypto/rand before Go 1.17.11 and Go 1.18.3 on Windows allows attacker to cause an indefinite hang by passing a buffer larger than 1 << 32 - 1 bytes.
Infinite loop in Read in crypto/rand before Go 1.17.11 and Go 1.18.3 o ...
Infinite loop in Read in crypto/rand before Go 1.17.11 and Go 1.18.3 on Windows allows attacker to cause an indefinite hang by passing a buffer larger than 1 << 32 - 1 bytes.
EPSS
7.5 High
CVSS3