← volver
CVE-2021-36090

Apache Commons Compress 1.0 to 1.20 denial of service vulnerability

EPSS 13.3%CWE-130
En resumen

Un archivo ZIP malicioso puede obligar a Apache Commons Compress a asignar enormes cantidades de memoria, causando el fallo de la aplicación incluso con archivos diminutos. Esto permite que atacantes desactiven servicios enviando archivos ZIP especialmente preparados.

Detalle técnico

Vulnerabilidad CWE-130 en Commons Compress versiones 1.0-1.20 permite que atacantes remotos causen denegación de servicio mediante archivos ZIP especialmente crafted que desencadenan asignación excesiva de memoria durante la descompresión. Vector de ataque basado en red (archivo ZIP malicioso), sin autenticación requerida; impacto es indisponibilidad del servicio por agotamiento de memoria.

Resumen generado y traducido por IA a partir de la descripción oficial.
When reading a specially crafted ZIP archive, Compress can be made to allocate large amounts of memory that finally leads to an out of memory error even for very small inputs. This could be used to mount a denial of service attack against services that use Compress' zip package.
Productos afectados
Apache Software Foundation · Apache Commons Compress

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://commons.apache.org/proper/commons-compress/security-reports.htmlhttps://lists.apache.org/thread.html/r0e87177f8e78b4ee453cd4d3d8f4ddec6f10d2c27707dd71e12cafc9%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r25f4c44616045085bc3cf901bb7e68e445eee53d1966fc08998fc456%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r3227b1287e5bd8db6523b862c22676b046ad8f4fc96433225f46a2bd%40%3Cissues.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r4f03c5de923e3f2a8c316248681258125140514ef3307bfe1538e1ab%40%3Cdev.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r54049b66afbca766b6763c7531e9fe7a20293a112bcb65462a134949%40%3Ccommits.drill.apache.org%3Ehttps://lists.apache.org/thread.html/r67ef3c07fe3b8c1b02d48012149d280ad6da8e4cec253b527520fb2b%40%3Cdev.poi.apache.org%3Ehttps://lists.apache.org/thread.html/r75ffc7a461e7e7ae77690fa75bd47bb71365c732e0fbcc44da4f8ff5%40%3Cdev.tomcat.apache.org%3Ehttps://lists.apache.org/thread.html/r9a23d4dbf4e34d498664080bff59f2893b855eb16dae33e4aa92fa53%40%3Cannounce.apache.org%3Ehttps://lists.apache.org/thread.html/r9f54c0caa462267e0cc68b49f141e91432b36b23348d18c65bd0d040%40%3Cnotifications.skywalking.apache.org%3Ehttps://lists.apache.org/thread.html/rab292091eadd1ecc63c516e9541a7f241091cf2e652b8185a6059945%40%3Ccommits.druid.apache.org%3Ehttps://lists.apache.org/thread.html/racd0c0381c8404f298b226cd9db2eaae965b14c9c568224aa3f437ae%40%3Cnotifications.skywalking.apache.org%3E