PT-2022-5561 · Curl+11 · Curl+11
Nyymi
·
Publicado
2022-05-15
·
Atualizado
2026-05-18
·
CVE-2022-32206
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do curl anteriores à 7.84.0
Descrição
O problema diz respeito ao suporte a algoritmos de compressão HTTP “encadeados” no curl, nos quais uma resposta do servidor pode ser comprimida várias vezes com algoritmos diferentes. Um servidor malicioso pode explorar essa vulnerabilidade inserindo um número praticamente ilimitado de etapas de compressão, levando a uma “bomba de malloc” e fazendo com que o curl gaste enormes quantidades de memória heap alocada ou retorne erros de memória insuficiente. Isso pode resultar em uma condição de negação de serviço.
Recomendações
Para versões anteriores à 7.84.0, atualize para a versão 7.84.0 do curl para resolver o problema. Como solução alternativa temporária, considere restringir o uso dos algoritmos de compressão HTTP “encadeados” para minimizar o risco de exploração. Evite conectar-se a servidores especialmente criados que possam inserir um grande número de etapas de compressão.
Exploit
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Ibm Aix
Linuxmint
Apple Macos
Red Hat
Rocky Linux
Suse
Ubuntu
Curl