CVE-2020-36846
CriticalSummary
W bibliotece Brotli występuje przepełnienie bufora, które może prowadzić do awarii aplikacji. Dotyczy to wersji IO::Compress::Brotli przed 0.007, gdzie atakujący może kontrolować długość wejścia w żądaniu dekompresji 'one-shot'.
Risk Assessment
Organizacja może doświadczyć awarii aplikacji, co może prowadzić do przerwy w dostępności usług oraz potencjalnych strat finansowych.
Recommendation
Zaleca się aktualizację modułu IO::Compress::Brotli do wersji 0.007 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy używać API 'streaming' zamiast 'one-shot' oraz wprowadzić ograniczenia rozmiaru chunków.
Original NVD description (English source)
A buffer overflow, as described in CVE-2020-8927, exists in the embedded Brotli library. Versions of IO::Compress::Brotli prior to 0.007 included a version of the brotli library prior to version 1.0.8, where an attacker controlling the input length of a "one-shot" decompression request to a script can trigger a crash, which happens when copying over chunks of data larger than 2 GiB. It is recommended to update your IO::Compress::Brotli module to 0.007 or later. If one cannot update, we recommend to use the "streaming" API as opposed to the "one-shot" API, and impose chunk size limits.

