Vulnerabilidad en SystemDS (CVE-2022-26477)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/06/2022
Última modificación:
29/10/2022
Descripción
El equipo de seguridad ha notado que la condición de terminación del bucle for en el método readExternal es una variable controlable que, si es manipulada, puede conllevar a un agotamiento de la CPU. Como corrección, añadimos un límite superior y una condición de terminación en la lógica de lectura y escritura. Lo clasificamos como una "mejora de baja prioridad pero útil". SystemDS es un sistema distribuido y necesita serializar/de serializar datos, pero en muchas rutas de código (por ejemplo, en Spark broadcast/shuffle o escribiendo en archivos de secuencia) el flujo de bytes está de todas formas protegido por huellas digitales CRC adicionales. Sin embargo, en este caso particular, el número de decodificadores está limitado por el doble del número de columnas, lo que significa que un atacante necesitaría modificar dos entradas en el flujo de bytes de manera consistente. Al añadir estas comprobaciones ha sido mejorado estrictamente la robustez con una sobrecarga casi nula. Estos cambios de código están disponibles en las versiones superiores a 2.2.1
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:systemds:*:*:*:*:*:*:*:* | 2.2.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página