CVE-2024-36124

Versões do iq80 Snappy anteriores à 0.5

O iq80 Snappy é uma biblioteca de compactação/descompactação. Ao descompactar determinados dados, o Snappy tenta ler além dos limites das matrizes de bytes fornecidas. Como o Snappy usa a classe JDK sun.misc.Unsafe para acelerar o acesso à memória, nenhuma verificação adicional de limites é realizada, e isso tem consequências de segurança semelhantes ao acesso fora dos limites em C ou C++, ou seja, pode levar a um comportamento não determinístico ou causar a falha da JVM. Essa vulnerabilidade pode ser explorada para um ataque de negação de serviço, causando a falha da JVM ao descompactar dados de usuários não confiáveis.

Para versões anteriores à 0.5, atualize para a versão 0.5 como uma solução rápida. A longo prazo, considere migrar para a implementação do Snappy no https://github.com/airlift/aircompressor (versão 0.27 ou mais recente).