PT-2024-30542 · Fugit+1 · Fugit+1
Personnumber3377
·
Publicado
2024-08-19
·
Atualizado
2024-08-23
·
CVE-2024-43380
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do fugit anteriores à 1.11.1
Descrição
O analisador “natural” do fugit, que converte linguagem natural em expressões cron, aceitava entradas de qualquer tamanho e tentava analisá-las sem retornar imediatamente. Isso poderia fazer com que a chamada de análise bloqueasse a thread indefinidamente. Os dependentes do fugit que não verificam a plausibilidade do comprimento da entrada do usuário são afetados.
Recomendações
Para versões do fugit anteriores à 1.11.1, atualize para a versão 1.11.1 para resolver o problema.
Como solução alternativa temporária, certifique-se de que
Fugit.parse(s), Fugit. do parse(s), Fugit.parse nat(s), Fugit.do parse nat(s), Fugit::Nat.parse(s) e Fugit::Nat.do parse(s) não recebam strings muito longas, por exemplo, limitando a entrada a 1.000 caracteres ou menos, para evitar que o analisador fique travado.Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Fugit