Vulnerabilidad en Apache Commons Compress (CVE-2018-1324)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2018
Última modificación:
07/11/2023
Descripción
Se puede emplear un archivo ZIP especialmente manipulado para provocar un bucle infinito en el analizador de campos extra de Apache Commons Compress, empleado por las clases ZipFile y ZipArchiveInputStream desde la versión 1.11 hasta la 1.15. Esto puede emplearse para montar un ataque de denegación de servicio (DoS) contra los servicios que emplean el paquete zip de Compress.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:commons_compress:*:*:*:*:*:*:*:* | 1.11 (incluyendo) | 1.15 (incluyendo) |
| cpe:2.3:a:oracle:mysql_cluster:*:*:*:*:*:*:*:* | 7.4.34 (incluyendo) | |
| cpe:2.3:a:oracle:mysql_cluster:*:*:*:*:*:*:*:* | 7.5.0 (incluyendo) | 7.5.24 (incluyendo) |
| cpe:2.3:a:oracle:mysql_cluster:*:*:*:*:*:*:*:* | 7.6.0 (incluyendo) | 7.6.20 (incluyendo) |
| cpe:2.3:a:oracle:mysql_cluster:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.0.27 (incluyendo) |
| cpe:2.3:a:oracle:weblogic_server:14.1.1.0.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/103490
- http://www.securitytracker.com/id/1040549
- https://lists.apache.org/thread.html/1c7b6df6d1c5c8583518a0afa017782924918e4d6acfaf23ed5b2089%40%3Cdev.commons.apache.org%3E
- https://lists.apache.org/thread.html/b8ef29df0f1d55aa741170748352ae8e425c7b1d286b2f257711a2dd%40%3Cdev.creadur.apache.org%3E
- https://lists.apache.org/thread.html/ff8dcfe29377088ab655fda9d585dccd5b1f07fabd94ae84fd60a7f8%40%3Ccommits.pulsar.apache.org%3E
- https://lists.apache.org/thread.html/r5532dc8d5456b5151e8c286801e2e5769f5c04118b29c3b5d13ea387%40%3Cissues.beam.apache.org%3E
- https://www.oracle.com/security-alerts/cpujan2022.html