PT-2021-22384 · Octorpki · Octorpki
Haynespls
·
Publicado
2021-11-10
·
Atualizado
2022-08-09
·
CVE-2021-3912
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:P |
Nome do software vulnerável e versões afetadas
OctoRPKI (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor crie um repositório capaz de esgotar a memória do OctoRPKI e causar sua falha. Isso é possível porque o OctoRPKI tenta carregar todo o conteúdo de um repositório na memória e, no caso de uma “GZIP bomb”, o descompacta na memória. A função
HTTPFetcher.GetXML lê uma resposta de tamanho ilimitado na memória, permitindo o esgotamento de recursos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Octorpki