PT-2022-10892 · Go+6 · Go+6

Emmanuel Odeke

·

Publicado

2021-09-13

·

Atualizado

2024-06-15

·

CVE-2021-39293

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.16.8
Versões do Go 1.17.x anteriores à 1.17.1
Descrição
O problema decorre de um cabeçalho de arquivo malicioso que designa falsamente um grande número de arquivos, fazendo com que as funções NewReader ou OpenReader em archive/zip entrem em pânico. Isso se deve a uma correção incompleta de um problema anterior. As funções NewReader e OpenReader podem causar um pânico ou um erro fatal irrecuperável ao ler um arquivo que alega conter um grande número de arquivos, independentemente de seu tamanho real.
Recomendações
Para versões do Go anteriores à 1.16.8, atualize para a versão 1.16.8 ou posterior.
Para versões do Go 1.17.x anteriores à 1.17.1, atualize para a versão 1.17.1 ou posterior.
Como solução temporária, considere restringir o uso das funções NewReader e OpenReader no archive/zip até que um patch esteja disponível.

Exploit

Correção

Allocation of Resources Without Limits

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-770

Identificadores relacionados

ALSA-2022:1819
ALT-PU-2021-2786
ALT-PU-2021-2983
ALT-PU-2021-3222
ALT-PU-2021-3540
ALT-PU-2022-1243
ALT-PU-2022-2873
BIT-GOLANG-2021-39293
CESA-2022_1819
CVE-2021-39293
DLA-2891-1
DLA-2892-1
DLA-3395-1
DLA-3395-2
GO-2022-0273
MGASA-2021-0475
OESA-2022-1518
OPENSUSE-SU-2021:1342-1
OPENSUSE-SU-2021:3292-1
OPENSUSE-SU-2021_1342-1
OPENSUSE-SU-2021_3292-1
OPENSUSE-SU-2024:10809-1
OPENSUSE-SU-2024:10810-1
RHSA-2022:0432
RHSA-2022:1819
RHSA-2022_1819
RLSA-2022:1819
SUSE-RU-2021:3315-1
SUSE-SU-2021:3292-1
SUSE-SU-2021_3292-1

Produtos afetados

Alt Linux
Almalinux
Centos
Go
Red Hat
Rocky Linux
Suse