melange позволяет пользователям создавать пакеты apk с использованием декларативных конвейеров. В версии 0.40.5 и более ранних версиях melange update-cache загружает URI из конфигураций сборки через io.Copy без ограничения размера или таймаута HTTP-клиента (pkg/renovate/cache/cache.go). Контролируемый злоумышленником URI в смешанной конфигурации может привести к неограниченной записи на диск, что приведет к исчерпанию дискового пространства во время выполнения сборки.
В открытом доступе нет известного патча.
Показать оригинальное описание (EN)
melange allows users to build apk packages using declarative pipelines. In version 0.40.5 and prior, melange update-cache downloads URIs from build configs via io.Copy without any size limit or HTTP client timeout (pkg/renovate/cache/cache.go). An attacker-controlled URI in a melange config can cause unbounded disk writes, exhausting disk on the build runne. There is no known patch publicly available.
Характеристики атаки
Последствия
Строка CVSS v3.1