PT-2021-7974 · Fasterxml+2 · Jackson Dataformat Cbor+2
Cowtowncoder
·
Publicado
2021-02-18
·
Atualizado
2022-12-06
·
CVE-2020-28491
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, versões 0 a 2.11.4
com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, versões 2.12.0-rc1 a 2.12.1
Descrição
O problema está relacionado à alocação de memória ilimitada no pacote com.fasterxml.jackson.dataformat:jackson-dataformat-cbor da biblioteca jackson-dataformats-binary. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A alocação não verificada de um buffer de bytes pode causar uma exceção java.lang.OutOfMemoryError.
Recomendações
Para as versões 0 a 2.11.4 do com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, atualize para a versão 2.11.4 ou posterior.
Para as versões 2.12.0-rc1 a 2.12.1 do com.fasterxml.jackson.dataformat:jackson-dataformat-cbor, atualize para a versão 2.12.1 ou posterior.
Como solução temporária, considere restringir a alocação de buffers de bytes para evitar a exceção java.lang.OutOfMemoryError.
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Suse
Jackson Dataformat Cbor