Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Commons Compress (CVE-2023-42503)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/09/2023
Última modificación:
21/02/2024

Descripción

"Vulnerabilidad de Validación de Entrada Incorrecta, Consumo de Recursos Incontrolado en Apache Commons Compress en el análisis TAR. Este problema afecta a Apache Commons Compress: desde 1.22 antes de 1.24.0. Se recomienda a los usuarios actualizar a la versión 1.24.0, que soluciona el problema. Un tercero puede crear un archivo TAR malformado manipulando los encabezados de los tiempos de modificación del archivo, que cuando se analizan con Apache Commons Compress, causarán un problema de denegación de servicio debido al consumo de CPU. En la versión 1.22 de Apache Commons Compress, se soportan tiempos de modificación de archivos con mayor precisión (problema # COMPRESS-612 [1]). El formato de los encabezados extendidos de PAX que contienen estos datos consta de dos números separados por un punto [2], que indica segundos y precisión de subsegundos (por ejemplo, “1647221103.5998539”). Los campos afectados son ""atime"", ""ctime"", ""mtime"" y ""LIBARCHIVE.creationtime"". No se realiza ninguna validación de entrada antes del análisis de los valores del encabezado. El análisis de estos números utiliza la clase BigDecimal [3] del JDK, que tiene un problema de complejidad algorítmica conocido públicamente al realizar operaciones con números grandes, lo que provoca denegación de servicio (consulte el problema # JDK-6560193 [4]). Un tercero puede manipular los encabezados de tiempo de un archivo TAR colocando un número con una fracción muy larga (300.000 dígitos) o un número con notación de exponente (como ""9e9999999"") dentro de un encabezado de tiempo de modificación del archivo y el análisis de los archivos. con estos encabezados llevará horas en lugar de segundos, lo que provocará una denegación de servicio por agotamiento de los recursos de la CPU. Este problema es similar a CVE-2012-2098 [5]. <br /> [1]: https://issues.apache.org/jira/browse/COMPRESS-612 <br /> [2]: https://pubs.opengroup.org/onlinepubs/9699919799/utilities/pax.html#tag_20_92_13_05 <br /> [3]: https://docs.oracle.com/javase/8/docs/api/java/math/BigDecimal.html <br /> [4]: ??https://bugs.openjdk.org/browse/JDK-6560193 <br /> [5]: https: //cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2098<br /> Solo se ven afectadas las aplicaciones que utilizan la clase CompressorStreamFactory (con detección automática de tipos de archivos), TarArchiveInputStream y TarFile para analizar archivos TAR. Dado que este código se introdujo en la versión 1.22, solo esa versión y las versiones posteriores se ven afectadas."

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:commons_compress:*:*:*:*:*:*:*:* 1.22 (incluyendo) 1.24.0 (excluyendo)