CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2020-36846

Critical
Published: Translated: NVD NIST

Summary

W bibliotece Brotli występuje przepełnienie bufora, które może prowadzić do awarii aplikacji. Dotyczy to wersji IO::Compress::Brotli przed 0.007, gdzie atakujący może kontrolować długość wejścia w żądaniu dekompresji 'one-shot'.

Risk Assessment

Organizacja może doświadczyć awarii aplikacji, co może prowadzić do przerwy w dostępności usług oraz potencjalnych strat finansowych.

Recommendation

Zaleca się aktualizację modułu IO::Compress::Brotli do wersji 0.007 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy używać API 'streaming' zamiast 'one-shot' oraz wprowadzić ograniczenia rozmiaru chunków.

Original NVD description (English source)

A buffer overflow, as described in CVE-2020-8927, exists in the embedded Brotli library.  Versions of IO::Compress::Brotli prior to 0.007 included a version of the brotli library prior to version 1.0.8, where an attacker controlling the input length of a "one-shot" decompression request to a script can trigger a crash, which happens when copying over chunks of data larger than 2 GiB. It is recommended to update your IO::Compress::Brotli module to 0.007 or later. If one cannot update, we recommend to use the "streaming" API as opposed to the "one-shot" API, and impose chunk size limits.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS