PT-2021-6463 · Go+6 · Archive/Zip+6
Emmanuel Odeke
·
Publicado
2021-02-19
·
Atualizado
2024-06-15
·
CVE-2021-33196
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
archive/zip nas versões do Go anteriores à 1.15.13
archive/zip nas versões 1.16.x do Go anteriores à 1.16.5
Descrição
O problema está relacionado à falta de verificação do número de arquivos em um arquivo compactado, o que pode ser explorado por um invasor remoto para causar uma negação de serviço usando um arquivo compactado malicioso. Especificamente, uma contagem de arquivos maliciosa no cabeçalho de um arquivo compactado pode causar um panic no NewReader ou no OpenReader. Isso pode levar a tentativas excessivas de alocação de memória. O problema ocorre ao ler um arquivo que alega conter um grande número de arquivos, independentemente de seu tamanho real, podendo causar um panic ou um erro fatal irrecuperável.
Recomendações
Para archive/zip nas versões do Go anteriores à 1.15.13, atualize para a versão 1.15.13 ou posterior.
Para o archive/zip nas versões 1.16.x do Go anteriores à 1.16.5, atualize para a versão 1.16.5 ou posterior.
Como solução temporária, considere restringir o uso das funções NewReader e OpenReader ao lidar com arquivos de fontes não confiáveis até que um patch seja aplicado.
Exploit
Correção
Resource Exhaustion
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Red Hat
Rocky Linux
Suse
Archive/Zip