CVE-2021-36374
Apache Ant ZIP, and ZIP based, archive denial of service vulerability
En resumen
Apache Ant falla al procesar archivos ZIP especialmente diseñados (incluyendo archivos JAR y documentos de oficina) porque intenta asignar enormes cantidades de memoria, incluso en archivos pequeños. Esto puede interrumpir procesos de construcción.
Detalle técnico
La CWE-130 se refiere a la asignación ilimitada de memoria al analizar archivos ZIP malformados o formatos derivados de ZIP. Las versiones anteriores a 1.9.16 y 1.10.11 carecen de validación adecuada de tamaño, causando denegación de servicio por agotamiento de memoria durante la construcción.
Resumen generado y traducido por IA a partir de la descripción oficial.
When reading a specially crafted ZIP archive, or a derived formats, an Apache Ant build can be made to allocate large amounts of memory that leads to an out of memory error, even for small inputs. This can be used to disrupt builds using Apache Ant. Commonly used derived formats from ZIP archives are for instance JAR files and many office files. Apache Ant prior to 1.9.16 and 1.10.11 were affected.
Productos afectados
Apache Software Foundation · Apache Ant¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://ant.apache.org/security.htmlhttps://lists.apache.org/thread.html/r27919fd4db07c487239c1d9771f480d89ce5ee2750aa9447309b709a%40%3Ccommits.groovy.apache.org%3Ehttps://lists.apache.org/thread.html/r544c9e8487431768465b8b2d13982c75123109bd816acf839d46010d%40%3Ccommits.groovy.apache.org%3Ehttps://lists.apache.org/thread.html/rad36f470647c5a7c02dd78c9973356d2840766d132b597b6444e373a%40%3Cnotifications.groovy.apache.org%3Ehttps://lists.apache.org/thread.html/rdd5412a5b9a25aed2a02c3317052d38a97128314d50bc1ed36e81d38%40%3Cuser.ant.apache.org%3Ehttps://lists.apache.org/thread.html/rf4bb79751a02889623195715925e4fd8932dd3c97e0ade91395a96c6%40%3Cdev.myfaces.apache.org%3Ehttps://security.netapp.com/advisory/ntap-20210819-0007/https://www.oracle.com/security-alerts/cpuapr2022.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://www.oracle.com/security-alerts/cpujul2022.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html