dotnet · MessagePackAtenção
MessagePack-CSharp: Alocação de buffer antes da validação em descompressão LZ4 permite ataque de bomba de descompressão
As rotinas de descompressão LZ4 do MessagePack-CSharp alocam buffers de saída baseados em comprimentos não comprimidos controlados pelo atacante antes da valida
O que mudou
As rotinas de descompressão LZ4 do MessagePack-CSharp alocam buffers de saída baseados em comprimentos não comprimidos controlados pelo atacante antes da validação, possibilitando um ataque de bomba de descompressão.
Quem isso afeta
Aplicações que usam MessagePack-CSharp com MessagePackCompression.Lz4Block ou Lz4BlockArray habilitados, especialmente ao desserializar cargas não confiáveis.
O que fazer hoje
Atualize o MessagePack para a versão corrigida assim que disponível; até lá, desabilite a compressão LZ4 para entradas não confiáveis ou imponha limites de tamanho estritos externamente.
A esteira
Coletado→
Auditado→
Redigido→
Publicado