Emmanuel Odeke

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.16.8 Versões do Go 1.17.x anteriores à 1.17.1 **Descrição** O problema decorre de um cabeçalho de arquivo malicioso que designa falsamente um grande número de arquivos, fazendo com que as funções NewReader ou OpenReader em archive/zip entrem em pânico. Isso se deve a uma correção incompleta de um problema anterior. As funções NewReader e OpenReader podem causar um pânico ou um erro fatal irrecuperável ao ler um arquivo que alega conter um grande número de arquivos, independentemente de seu tamanho real. **Recomendações** Para versões do Go anteriores à 1.16.8, atualize para a versão 1.16.8 ou posterior. Para versões do Go 1.17.x anteriores à 1.17.1, atualize para a versão 1.17.1 ou posterior. Como solução temporária, considere restringir o uso das funções NewReader e OpenReader no archive/zip até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Go anteriores à 1.15.13 Versões do Go 1.16.x anteriores à 1.16.5 **Descrição** O problema está relacionado ao componente math/big.Rat e ao método UnmarshalText na linguagem de programação Go, o que pode levar a uma alocação descontrolada de memória. Isso pode causar a falha e a reinicialização de um dispositivo quando explorado por um invasor remoto. O problema surge quando o método Rat.SetString ou Rat.UnmarshalText recebe entradas com expoentes muito grandes, resultando potencialmente em um panic ou em um erro fatal irrecuperável. **Recomendações** Para versões do Go anteriores à 1.15.13, atualize para a versão 1.15.13 ou posterior para resolver o problema. Para versões do Go 1.16.x anteriores à 1.16.5, atualize para a versão 1.16.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos métodos `Rat.SetString` e `Rat.UnmarshalText` até que um patch esteja disponível, especialmente ao lidar com entradas com expoentes grandes.

**Nome do software vulnerável e versões afetadas** archive/zip nas versões do Go anteriores à 1.15.13 archive/zip nas versões 1.16.x do Go anteriores à 1.16.5 **Descrição** O problema está relacionado à falta de verificação do número de arquivos em um arquivo compactado, o que pode ser explorado por um invasor remoto para causar uma negação de serviço usando um arquivo compactado malicioso. Especificamente, uma contagem de arquivos maliciosa no cabeçalho de um arquivo compactado pode causar um panic no NewReader ou no OpenReader. Isso pode levar a tentativas excessivas de alocação de memória. O problema ocorre ao ler um arquivo que alega conter um grande número de arquivos, independentemente de seu tamanho real, podendo causar um panic ou um erro fatal irrecuperável. **Recomendações** Para archive/zip nas versões do Go anteriores à 1.15.13, atualize para a versão 1.15.13 ou posterior. Para o archive/zip nas versões 1.16.x do Go anteriores à 1.16.5, atualize para a versão 1.16.5 ou posterior. Como solução temporária, considere restringir o uso das funções NewReader e OpenReader ao lidar com arquivos de fontes não confiáveis até que um patch seja aplicado.