7.8высокая
BDU:2022-05522 (CVE-2022-30631)
Уязвимость пакета compress/gzip языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-09-05
Описание
Уязвимость пакета compress/gzip языка программирования Go связана с неконтролируемой рекурсией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)OpenShift Container Platform (4)OpenShift Container Platform (4.7)Debian GNU/Linux (11)Fedora (35)OpenShift Container Platform (4.9)OpenShift Container Platform (4.10)Red Hat Enterprise Linux (9)Red Hat OpenStack Platform (16.2)Go (до 1.17.12)Go (от 1.18.0 до 1.18.4)Red Hat Web TerminalSelf Node Remediation (0.4 for RHEL 8)Node Maintenance OperatorService Telemetry Framework (1.3 for RHEL 8)Service Telemetry Framework (1.4 for RHEL 8)Application Interconnect (1 for RHEL 8)Application Interconnect (1.0)OpenShift Container Platform (4.11)
Способ устранения
Использование рекомендаций:
Для Go:
https://go.dev/cl/417067
https://go.dev/issue/53168
https://go.googlesource.com/go/+/b2b8872c876201eac2d0707276c6999ff3eb185e
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-30631
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-30631
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RQXU752ALW53OJAF5MG3WMR5CCZVLWW6/
Оценка CVSS
| Балл | 7.8 — высокая опасность |
Источники и патчи