CVE-2021-36090
Apache Commons Compress 1.0 to 1.20 denial of service vulnerability
Em resumo
Um arquivo ZIP malicioso pode forçar o Apache Commons Compress a alocar quantidades enormes de memória, causando a falha da aplicação mesmo com arquivos minúsculos. Isso permite que invasores desativem serviços enviando arquivos ZIP especialmente preparados.
Detalhe técnico
Vulnerabilidade CWE-130 no Commons Compress versões 1.0-1.20 permite que atacantes remotos causem negação de serviço através de arquivos ZIP especialmente crafted que disparam alocação excessiva de memória durante descompactação. Vetor de ataque é baseado em rede (arquivo ZIP malicioso), sem autenticação necessária; impacto é indisponibilidade do serviço por esgotamento de memória.
Resumo gerado e traduzido por IA a partir da descrição oficial.
When reading a specially crafted ZIP archive, Compress can be made to allocate large amounts of memory that finally leads to an out of memory error even for very small inputs. This could be used to mount a denial of service attack against services that use Compress' zip package.
Produtos afetados
Apache Software Foundation · Apache Commons CompressQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://commons.apache.org/proper/commons-compress/security-reports.htmlhttps://lists.apache.org/thread.html/r0e87177f8e78b4ee453cd4d3d8f4ddec6f10d2c27707dd71e12cafc9%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r25f4c44616045085bc3cf901bb7e68e445eee53d1966fc08998fc456%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r3227b1287e5bd8db6523b862c22676b046ad8f4fc96433225f46a2bd%40%3Cissues.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r4f03c5de923e3f2a8c316248681258125140514ef3307bfe1538e1ab%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r54049b66afbca766b6763c7531e9fe7a20293a112bcb65462a134949%40%3Ccommits.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r67ef3c07fe3b8c1b02d48012149d280ad6da8e4cec253b527520fb2b%40%3Cdev.poi.apache.org%3Ehttps://lists.apache.org/thread.html/r75ffc7a461e7e7ae77690fa75bd47bb71365c732e0fbcc44da4f8ff5%40%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r9a23d4dbf4e34d498664080bff59f2893b855eb16dae33e4aa92fa53%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r9f54c0caa462267e0cc68b49f141e91432b36b23348d18c65bd0d040%40%3Cnotifications.skywalking.apache.org%3Ehttps://lists.apache.org/thread.html/rab292091eadd1ecc63c516e9541a7f241091cf2e652b8185a6059945%40%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/racd0c0381c8404f298b226cd9db2eaae965b14c9c568224aa3f437ae%40%3Cnotifications.skywalking.apache.org%3E