CVE-2024-36114

Versões do Aircompressor anteriores à 0.27

O problema diz respeito às implementações dos descompressores do Aircompressor, incluindo LZ4, LZO, Snappy e Zstandard. Esses descompressores podem causar a falha da JVM com determinados tipos de entrada e, em alguns casos, vazar o conteúdo de outras áreas da memória do processo Java, que podem conter informações confidenciais. Isso ocorre porque os descompressores tentam acessar memória fora dos limites das matrizes de bytes ou buffers de bytes fornecidos, e o Aircompressor usa a classe JDK sun.misc.Unsafe para acelerar o acesso à memória sem realizar verificações de limites adicionais. Como resultado, isso pode levar a um comportamento não determinístico ou causar a falha da JVM. Ao descompactar dados de usuários não confiáveis, isso pode ser explorado para um ataque de negação de serviço, causando a falha da JVM ou vazando outras informações confidenciais do processo Java.

Atualize para o Aircompressor 0.27 ou mais recente, onde essas falhas foram corrigidas. Como solução temporária, considere evitar a descompactação de dados de usuários não confiáveis para minimizar o risco de exploração. Restrinja o acesso a informações confidenciais dentro do processo Java para reduzir o impacto potencial de um vazamento.