Уязвимость переполнения или чтения за пределами буфера в zlib через использование большого заголовка extra в функции "inflate"
Описание
В zlib обнаружена уязвимость, связанная с переполнением или чтением за пределами буфера в функции inflate в файле inflate.c. Уязвимость проявляется при обработке большого gzip-заголовка поля extra. Затронуты только те приложения, которые вызывают функцию inflateGetHeader.
Затронутые версии ПО
- zlib через версию 1.2.12
Тип уязвимости
- Переполнение буфера
- Чтение за пределами буфера
Дополнительная информация
Некоторые распространенные приложения включают уязвимый исходный код zlib, но могут не вызывать функцию inflateGetHeader.
Ссылки
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListPatchThird Party Advisory
- ExploitIssue TrackingThird Party Advisory
- ExploitThird Party Advisory
- ExploitThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Mailing ListThird Party Advisory
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Одно из
Одно из
Одновременно
Одновременно
Одновременно
Одновременно
Одно из
Одно из
EPSS
9.8 Critical
CVSS3
Дефекты
Связанные уязвимости
zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).
zlib through 1.2.12 has a heap-based buffer over-read or buffer overflow in inflate in inflate.c via a large gzip header extra field. NOTE: only applications that call inflateGetHeader are affected. Some common applications bundle the affected zlib source code but may be unable to call inflateGetHeader (e.g., see the nodejs/node reference).
zlib through 1.2.12 has a heap-based buffer over-read or buffer overfl ...
EPSS
9.8 Critical
CVSS3