PT-2021-3850 · Apache+4 · Apache Commons Compress+4
Oss Fuzz
·
Publicado
2021-07-13
·
Atualizado
2024-08-06
·
CVE-2021-35517
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Confluence Data Center, versões 7.19.23 a 8.9.3
Confluence Server, versões 7.19.23 a 8.5.11
Apache Commons Compress (versões afetadas não especificadas)
Descrição
O problema está relacionado à alocação de memória ilimitada ao ler um arquivo TAR especialmente criado, o que pode levar a um erro de memória insuficiente. Isso poderia ser usado para lançar um ataque de negação de serviço contra serviços que utilizam o pacote tar do Compress.
Recomendações
Para as versões do Confluence Data Center de 8.9.2 a 8.9.3, atualize para a versão 8.9.4.
Para as versões do Confluence Data Center de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.9.4 ou 8.5.12 LTS.
Para as versões do Confluence Data Center de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.9.4, 8.5.12 LTS ou 7.19.25 LTS.
Para as versões do Confluence Server de 8.5.10 a 8.5.11 LTS, atualize para a versão 8.5.12 LTS.
Para as versões do Confluence Server de 7.19.23 a 7.19.24 LTS, atualize para a versão 8.5.12 LTS ou 7.19.25 LTS.
Como solução alternativa temporária, considere restringir o uso do pacote Compress tar até que um patch esteja disponível.
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Commons Compress
Confluence
Debian
Red Os
Suse