Уязвимость декомпрессионной бомбы gzip существует, когда Orthanc обрабатывает HTTP-запрос с помощью Content-Encoding: gzip. Сервер не устанавливает ограничений на размер распакованного файла и распределяет память на основе метаданных сжатия, контролируемых злоумышленником. Специально созданная полезная нагрузка gzip может привести к чрезмерному выделению памяти и исчерпанию системной памяти.
Показать оригинальное описание (EN)
A gzip decompression bomb vulnerability exists when Orthanc processes HTTP request with `Content-Encoding: gzip`. The server does not enforce limits on decompressed size and allocates memory based on attacker-controlled compression metadata. A specially crafted gzip payload can trigger excessive memory allocation and exhaust system memory.