CWE-401 · Отсутствие освобождения памяти после истечения срока жизни

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-401ВариантЧерновик

Абстракция: Вариант

Статус: Черновик

Источник ↗

Отсутствие освобождения памяти после истечения срока жизни

Продукт не отслеживает должным образом и не освобождает выделенную память после её использования, делая память недоступной для повторного выделения и использования.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-25450В imlib2 v1.9.1 обнаружена неправильная обработка выделения памяти в функции init_imlib_fonts().

CVE-2023-33718Обнаружено, что mp4v2 v2.1.3 содержит утечку памяти через MP4File::ReadString() в mp4file_io.cpp.

CVE-2021-40633Утечка памяти (нехватка памяти) в gif2rgb в util/gif2rgb.c в giflib 5.1.4 позволяет удаленным злоумышленникам вызвать исключение нехватки памяти или отказ в обслуживании через файл в формате gif.

CVE-2019-6128Функция TIFFFdOpen в tif_unix.c в LibTIFF 4.0.10 имеет утечку памяти, как продемонстрировано в pal2rgb.

CVE-2016-4232Adobe Flash Player версий до 18.0.0.366 и с 19.x по 22.x до 22.0.0.209 в Windows и OS X и до 11.2.202.632 в Linux позволяет злоумышленникам получать конфиденциальную информацию из памяти процесса через неуказанные векторы.

CVE-2026-48059Netty - это сетевая система приложений для разработки протоколов серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final, кодек протокола v2 HAProxy PROXY в netty утечет нативную или кучу памяти на каждом соединении, когда клиент отправляет синтактически действительный заголовок, содержащий вложенный `PP2_TYPE_SSL` TLVs (записи с длиной типа) на глубине 2 или более. Утечка происходит на успешном пути разбора — исключение не бросается, сообщение стреляет вниз по течению, декодер удаляется, а приложение выпускает «HAProxyMessage` нормально». Тем не менее, основной буфер кумуляции (объединенный, потенциально прямой `ByteBuf` выделенный каналом) остается постоянным. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.

CVE-2026-48006Netty - это сетевая система приложений для разработки протокольных серверов и клиентов. До версий 4.1.135.Final и 4.2.15.Final обработчик RedisArrayAggregator постоянно пропускает объединенные буферы прямой памяти, когда соединение трубопровода Redis закрывается до завершения агрегата массива RESP. Обработчик сохраняет сообщения о детях в состоянии по обработке (`глубинное поле), но не определяет «каналInactive», «Обратный удаленный» или «исключительный метод» для их выпуска, когда трубопровод слезет. Поскольку просочившиеся буферы являются кусками «PooledByteBufAllocator` кусков», они предотвращают возвращение этих кусков в бассейн прямой памяти JVM. Повторный отток соединения любым сетевым аналогом монотонно истощает этот общий пул, в конечном итоге вызывая сбои распределения на всех каналах Netty в процессе. Версии 4.1.135.Финал и 4.2.15.Фондальный патч выпуск.

CVE-2026-44660UltraJSON - это быстрый кодер и декодер JSON, написанный чистым C с привязками для Python 3.7+. До 5.12.1, когда ujson.dump() записывает на файлообразный объект, и операция записи вызывает исключение, сериализованный объект струны JSON не удаляется, протекающей памятью. Каждая неудачная операция по записи пропускает полный размер сериализированной полезной нагрузки. Эта уязвимость исправлена в пункте 5.12.1.

CVE-2026-3650Утечка памяти существует в библиотеке Grassroots DICOM (GDCM). Ошибка возникает при разборе уродованных файлов DICOM с нестандартными типами VR в метаинформации файлов. Уязвимость приводит к значительному распределению памяти и истощению ресурсов, вызывая состояние отказа в обслуживании. Злоумышленно созданный файл может заполнить кучу в одной операции чтения без ее надлежащего выпуска.

CVE-2026-33782Недостающее высвобождение памяти после эффективной пожизненной уязвимости в DHCP-демон (jdhcpd) Juniper Networks Junos OS на MX Series позволяет соседнему, неаутентичному злоумышленнику вызвать утечку памяти, что в конечном итоге вызовет полный отказ в обслуживании (DoS). В DHCPv6 над PPPoE или DHCPv6 по VLAN с активным арендным запросом или сценарием выдачи запроса об аренде оптового лица каждый логотип абонента будет слойку небольшого объема памяти. Когда вся доступная память будет исчерпана, jdhcpd разобьется и перезапустится, что вызовет полное влияние на обслуживание до тех пор, пока процесс не восстановится. Использование памяти jdhcpd можно контролировать с помощью: user@host> шоусистема обстоятельные | match jdhcpd Эта проблема затрагивает Junos OS: * все версии до 22.4R3-S1, * 23.2 версии до 23.2R2, * 23.4 версии до 23.4R2.

CVE-2026-0646Проблема безопасности отказа в обслуживании существует в адаптере 1794-AENTR из-за неправильной обработки памяти запросов протокола CIP. Эта уязвимость может привести к тому, что адаптер неисправен и потеряет соединение с соответствующими модулями ввода-вывода, что потребует ручного сброса для восстановления.

CVE-2025-61974Когда клиентский профиль SSL настроен на виртуальном сервере, нераскрытые запросы могут вызвать увеличение использования ресурса памяти. Примечание: версии программного обеспечения, которые достигли конца технической поддержки (EoTS), не оцениваются.

CVE-2025-30658Уязвимость, связанная с отсутствием освобождения памяти после эффективного срока службы, в обработке антивируса Juniper Networks Junos OS на SRX Series позволяет неавторизованному, сетевому злоумышленнику вызвать отказ в обслуживании (DoS). На всех платформах SRX с включенным антивирусом, если сервер отправляет определенное содержимое в теле ответа HTTP на запрос клиента, эти пакеты помещаются в очередь обработки антивирусом в буферах Juniper (jbufs), которые никогда не освобождаются. Когда эти jbufs исчерпываются, устройство перестает пересылать весь транзитный трафик. Утечка памяти jbuf может быть обнаружена из следующих логов: (<node>.)<fpc> Warning: jbuf pool id <#> utilization level (<current level>%) is above <threshold>%! Чтобы восстановиться после этой проблемы, необходимо вручную перезагрузить затронутое устройство, чтобы освободить утечку jbufs. Эта проблема затрагивает Junos OS на SRX Series: все версии до 21.2R3-S9, 21.4 версии до 21.4R3-S10, 22.2 версии до 22.2R3-S6, 22.4 версии до 22.4R3-S6, 23.2 версии до 23.2R2-S3, 23.4 версии до 23.4R2-S3, 24.2 версии до 24.2R2 [1]. Источники: - [1] https://supportportal.juniper.net/JSA96469

CVE-2025-21599Уязвимость, связанная с отсутствием освобождения памяти после окончания эффективного времени жизни в Juniper Tunnel Driver (jtd) Juniper Networks Junos OS Evolved, позволяет неаутентифицированному сетевому злоумышленнику вызвать отказ в обслуживании. Получение специально сформированных пакетов IPv6, предназначенных для устройства, приводит к тому, что память ядра не освобождается, что приводит к исчерпанию памяти, приводящему к сбою системы и отказу в обслуживании (DoS). Непрерывное получение и обработка этих пакетов будет продолжать истощать память ядра, создавая устойчивое состояние отказа в обслуживании (DoS). Эта проблема затрагивает только системы, настроенные с IPv6. Эта проблема затрагивает Junos OS Evolved: * с 22.4-EVO до 22.4R3-S5-EVO, * с 23.2-EVO до 23.2R2-S2-EVO, * с 23.4-EVO до 23.4R2-S2-EVO, * с 24.2-EVO до 24.2R1-S2-EVO, 24.2R2-EVO. Эта проблема не затрагивает версии Juniper Networks Junos OS Evolved до 22.4R1-EVO.

CVE-2025-21091Когда SNMP v1 или v2c отключены на BIG-IP, нераскрытые запросы могут привести к увеличению использования ресурсов памяти. Примечание: Версии программного обеспечения, достигшие окончания технической поддержки (EoTS), не оцениваются.