Aircompressor — это библиотека с портами алгоритмов сжатия Snappy, LZO, LZ4 и Zstandard на Java. В версиях 3.3 и ниже неправильная обработка искаженных данных в реализациях декомпрессора на основе Java для Snappy и LZ4 позволяет удаленным злоумышленникам читать предыдущее содержимое буфера через специально созданный сжатый ввод. При использовании определенных сжатых входных данных элементы из выходного буфера могут оказаться в несжатом выходном файле, что может привести к утечке конфиденциальных данных.
Это актуально для приложений, которые повторно используют один и тот же выходной буфер для распаковки нескольких входных данных. Это может быть случай веб-сервера, который выделяет буфер фиксированного размера в целях повышения производительности. Аналогичная уязвимость имеется в GHSA-cmp6-m4wj-q63q.
Эта проблема исправлена в версии 3.4.
Показать оригинальное описание (EN)
Aircompressor is a library with ports of the Snappy, LZO, LZ4, and Zstandard compression algorithms to Java. In versions 3.3 and below, incorrect handling of malformed data in Java-based decompressor implementations for Snappy and LZ4 allow remote attackers to read previous buffer contents via crafted compressed input. With certain crafted compressed inputs, elements from the output buffer can end up in the uncompressed output, potentially leaking sensitive data. This is relevant for applications that reuse the same output buffer to uncompress multiple inputs. This can be the case of a web server that allocates a fix-sized buffer for performance purposes. There is similar vulnerability in GHSA-cmp6-m4wj-q63q. This issue is fixed in version 3.4.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Airlift Aircompressor
cpe:2.3:a:airlift:aircompressor:*:*:*:*:*:*:*:*
|
— |
2.0.3
|
|
Airlift Aircompressor
cpe:2.3:a:airlift:aircompressor:*:*:*:*:*:*:*:*
|
3.0
|
3.4
|