Dulwich: vulnerabilidade de exaustão de memória em add_thin_pack / apply_delta
Uma vulnerabilidade de exaustão de memória (CWE-400/CWE-789) em add_thin_pack / apply_delta permite que um cliente com acesso de push cause negação de serviço enviando um thin pack malicioso com dest_size enorme, alocando memória excessiva.
O que mudou
Uma vulnerabilidade de exaustão de memória (CWE-400/CWE-789) em add_thin_pack / apply_delta permite que um cliente com acesso de push cause negação de serviço enviando um thin pack malicioso com dest_size enorme, alocando memória excessiva. Corrigido na versão 1.2.5 com o parâmetro max_input_size e a exceção PackInputTooLarge.
Quem isso afeta
Operadores de servidores Git baseados em Dulwich que expõem git-receive-pack (aceita pushes), por exemplo, via dulwich.server, servidor HTTP smart ou ReceivePackHandler.
O que fazer hoje
Atualize para Dulwich 1.2.5 ou superior e defina receive.maxInputSize na configuração do repositório para um limite seguro.