PT-2022-4638 · Go+9 · Compress/Gzip+9

Tatianabo

Publicado

2022-07-12

Atualizado

2025-10-20

CVE-2022-30631

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Versões do compress/gzip anteriores à 1.17.12

Versões do compress/gzip anteriores à 1.18.4

Descrição

O problema está relacionado a uma recursão descontrolada na função Reader.Read do pacote compress/gzip na linguagem de programação Go. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço, fornecendo um arquivo contendo um grande número de arquivos compactados concatenados de comprimento zero, levando ao esgotamento da pilha e a um panic.

Recomendações

Para versões anteriores à 1.17.12, atualize para a versão 1.17.12 ou posterior para resolver o problema.

Para versões anteriores à 1.18.4, atualize para a versão 1.18.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o uso da função Reader.Read em arquivos que contenham arquivos compactados concatenados de comprimento zero para minimizar o risco de exploração.

Correção

Uncontrolled Recursion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-674

Identificadores relacionados

ALSA-2022:5775

ALSA-2022:5799

ALSA-2022:7519

ALSA-2022:7529

ALSA-2022:7648

ALSA-2022:8057

ALSA-2022:8098

ALSA-2022:8250

ALSA-2023:2758

ALSA-2023:2802

ALSA-2024:2180

ALT-PU-2022-2310

ALT-PU-2022-2316

ALT-PU-2022-2873

ALT-PU-2023-1205

AZL-10534

AZL-79092

BDU:2022-05522

BIT-GOLANG-2022-30631

CESA-2022_5775

CESA-2022_7519

CESA-2022_7529

CESA-2022_7648

CESA-2023_2758

CESA-2023_2802

CVE-2022-30631

GO-2022-0524

INFSA-2024_2180

MGASA-2022-0262

OESA-2022-1783

OPENSUSE-SU-2022_2671-1

OPENSUSE-SU-2022_2672-1

OPENSUSE-SU-2024:12189-1

OPENSUSE-SU-2024:12190-1

RHSA-2022:5775

RHSA-2022:5799

RHSA-2022:5866

RHSA-2022:6042

RHSA-2022:6061

RHSA-2022:6062

RHSA-2022:6065

RHSA-2022:6066

RHSA-2022:6113

RHSA-2022:7398

RHSA-2022:7519

RHSA-2022:7529

RHSA-2022:7648

RHSA-2022:8057

RHSA-2022:8098

RHSA-2022:8250

RHSA-2022_5775

RHSA-2022_5799

RHSA-2022_7519

RHSA-2022_7529

RHSA-2022_7648

RHSA-2022_8057

RHSA-2022_8098

RHSA-2022_8250

RHSA-2023:0407

RHSA-2023:0727

RHSA-2023:2758

RHSA-2023:2802

RHSA-2023_2758

RHSA-2023_2802

RHSA-2024:2180

RHSA-2024_2180

RLSA-2022:5775

RLSA-2022:5799

RLSA-2022:7519

RLSA-2022:7529

RLSA-2022:7648

RLSA-2022:8057

RLSA-2022:8098

RLSA-2022:8250

SUSE-SU-2022:2671-1

SUSE-SU-2022:2672-1

SUSE-SU-2023:2312-1

USN-6038-1

USN-6038-2

Produtos afetados

Alt Linux

Almalinux

Centos

Debian

Linuxmint

Red Hat

Rocky Linux

Suse

Ubuntu

Compress/Gzip

PT-2022-4638 · Go+9 · Compress/Gzip+9

CVE-2022-30631

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 268