PT-2021-3195 · Ssri+5 · Ssri+5

Aveek Biswas

·

Publicado

2021-03-12

·

Atualizado

2024-06-15

·

CVE-2021-27290

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
ssri, versões 5.2.2 a 8.0.0
Descrição
O problema está relacionado ao processamento de SRIs por meio de uma expressão regular, que é vulnerável a um ataque de negação de serviço. SRIs maliciosos podem levar um tempo extremamente longo para serem processados, levando à negação de serviço. Esse problema afeta apenas usuários que utilizam a opção “strict”.
Recomendações
Para as versões 5.2.2 a 8.0.0, atualize para a versão 8.0.1 para resolver o problema.
Como solução alternativa temporária, considere desativar a opção “strict” até que um patch esteja disponível.
Restrinja o uso de SRIs para minimizar o risco de exploração.

Exploit

Correção

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400

Identificadores relacionados

ALSA-2021:3073
ALSA-2021:3074
BDU:2021-02890
CESA-2021_3073
CESA-2021_3074
CVE-2021-27290
GHSA-VX3P-948G-6VHQ
MGASA-2021-0372
OESA-2022-1620
OPENSUSE-SU-2021:1059-1
OPENSUSE-SU-2021:1060-1
OPENSUSE-SU-2021:1061-1
OPENSUSE-SU-2021:1113-1
OPENSUSE-SU-2021:2327-1
OPENSUSE-SU-2021:2353-1
OPENSUSE-SU-2021:2354-1
OPENSUSE-SU-2021:2618-1
OPENSUSE-SU-2021_1059-1
OPENSUSE-SU-2021_1060-1
OPENSUSE-SU-2021_1061-1
OPENSUSE-SU-2021_1113-1
OPENSUSE-SU-2021_2327-1
OPENSUSE-SU-2021_2353-1
OPENSUSE-SU-2021_2354-1
OPENSUSE-SU-2021_2618-1
OPENSUSE-SU-2024:11096-1
RHSA-2021:2931
RHSA-2021:2932
RHSA-2021:3073
RHSA-2021:3074
RHSA-2021:3638
RHSA-2021:3639
RHSA-2021_3073
RHSA-2021_3074
RLSA-2021:3073
RLSA-2021:3074
SUSE-SU-2021:2319-1
SUSE-SU-2021:2323-1
SUSE-SU-2021:2326-1
SUSE-SU-2021:2327-1
SUSE-SU-2021:2353-1
SUSE-SU-2021:2354-1
SUSE-SU-2021:2618-1
SUSE-SU-2021:2620-1

Produtos afetados

Almalinux
Centos
Red Hat
Rocky Linux
Suse
Ssri