dotnet · MessagePackCrítico
MessagePack: StackOverflow via ReadDateTime() em dotnet
MessagePackReader.ReadDateTime() pode alocar memória na pilha com base em um comprimento de extensão controlado por atacante, causando StackOverflowException qu
O que mudou
MessagePackReader.ReadDateTime() pode alocar memória na pilha com base em um comprimento de extensão controlado por atacante, causando StackOverflowException que encerra o processo hospedeiro.
Quem isso afeta
Aplicações que desserializam cargas não confiáveis em tipos com valores DateTime ou DateTimeOffset usando a biblioteca MessagePack.
O que fazer hoje
Atualize o MessagePack para a versão corrigida da sua linha de lançamento assim que disponível; até lá, evite desserializar cargas MessagePack não confiáveis em esquemas com valores DateTime/DateTimeOffset.
A esteira
Coletado→
Auditado→
Redigido→
Publicado