PT-2021-20075 · Google+4 · Go+5

Andrew Thornton

·

Publicado

2021-02-19

·

Atualizado

2026-04-07

·

CVE-2021-33194

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do golang.org/x/net anteriores à v0.0.0-20210520170846-37e1c6afe023
Versões do Go anteriores à 1.15.13 e versões 1.16.x até 1.16.4
Descrição
A vulnerabilidade permite que invasores provoquem uma negação de serviço por meio de uma entrada ParseFragment maliciosa, resultando em um loop infinito. Um invasor pode criar uma entrada para ParseFragment que faça com que ele entre em um loop infinito e nunca retorne.
Recomendações
Para versões do golang.org/x/net anteriores à v0.0.0-20210520170846-37e1c6afe023, atualize para a versão v0.0.0-20210520170846-37e1c6afe023 ou posterior.
Para versões do Go anteriores à 1.15.13, atualize para a versão 1.15.13 ou posterior.
Para versões do Go 1.16.x até 1.16.4, atualize para a versão 1.16.5 ou posterior.
Como solução temporária, considere desativar a função ParseFragment até que um patch esteja disponível.

Exploit

Correção

DoS

Infinite Loop

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-835

Identificadores relacionados

ALT-PU-2021-1376
ALT-PU-2021-1936
ALT-PU-2021-1940
ALT-PU-2021-1941
BIT-GOLANG-2021-33194
CVE-2021-33194
GHSA-83G2-8M93-V3W7
GO-2021-0238
USN-8089-2
USN-8089-3

Produtos afetados

Alt Linux
Astra Linux
Go
Linuxmint
Ubuntu
Golang.Org/X/Net