Sigstore Timestamp Authority - это услуга по выпуску штампов RFC 3161. До 2.0.3 Function api.ParseJSONRequest в настоящее время разделяет (…
Sigstore Timestamp Authority - это услуга по выпуску штампов RFC 3161. До 2.0.3 Function api.ParseJSONRequest в настоящее время разделяет (через звонок в струны.Split) опционально предоставляемый OID (который является ненадежными данными) по периодам. Аналогично, функция api.getContentType разделяет заголовок Content-Type (который также является ненадежными данными) на строку приложения. В результате, в случае вредоносного запроса либо с чрезмерно длинным OID в полезной нагрузке, содержащей много персонажей периода, либо сформированный заголовок Content-Type, звонок api.ParseJSONRequest или api.getContentType требует выделения O(n) байтов (где n обозначает длину аргумента функции). Эта уязвимость исправлена в 2.0.3.
Продукт не обеспечивает должного контроля ситуаций, при которых злоумышленник может вынудить продукт потреблять или производить избыточное количество ресурсов, не затрачивая при этом эквивалентных усилий или иным образом не подтверждая авторизацию, то есть влияние злоумышленника носит «асимметричный» характер.
https://cwe.mitre.org/data/definitions/405.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| golang-github-sigstore-timestamp-authority | Отслеживается | |
| golang-github-sigstore-timestamp-authority | Отслеживается | |
| golang-github-sigstore-timestamp-authority | Отслеживается | |
| sigstore_timestamp_authority | * | Отслеживается |