dotnet · MessagePackAtenção
MessagePack-CSharp: Alocação de arrays multidimensionais pode causar exaustão de memória
Os formatadores de arrays multidimensionais do MessagePack-CSharp alocam arrays baseados em dimensões controladas pelo atacante antes de validar se o produto da
O que mudou
Os formatadores de arrays multidimensionais do MessagePack-CSharp alocam arrays baseados em dimensões controladas pelo atacante antes de validar se o produto das dimensões corresponde à contagem de elementos codificada, permitindo exaustão de memória com payloads pequenos.
Quem isso afeta
Aplicações que desserializam payloads MessagePack não confiáveis em modelos contendo arrays multidimensionais (T[,], T[,,], T[,,,]).
O que fazer hoje
Atualize o MessagePack para a versão corrigida assim que disponível; até lá, evite desserializar payloads não confiáveis em esquemas com arrays multidimensionais.
A esteira
Coletado→
Auditado→
Redigido→
Publicado