CVE-2023-42503
Apache Commons Compress: Denial of service via CPU consumption for malformed TAR file
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
Improper Input Validation, Uncontrolled Resource Consumption vulnerability in Apache Commons Compress in TAR parsing.This issue affects Apache Commons Compress: from 1.22 before 1.24.0.
Users are recommended to upgrade to version 1.24.0, which fixes the issue.
A third party can create a malformed TAR file by manipulating file modification times headers, which when parsed with Apache Commons Compress, will cause a denial of service issue via CPU consumption.
In version 1.22 of Apache Commons Compress, support was added for file modification times with higher precision (issue # COMPRESS-612 [1]). The format for the PAX extended headers carrying this data consists of two numbers separated by a period [2], indicating seconds and subsecond precision (for example “1647221103.5998539”). The impacted fields are “atime”, “ctime”, “mtime” and “LIBARCHIVE.creationtime”. No input validation is performed prior to the parsing of header values.
Parsing of these numbers uses the BigDecimal [3] class from the JDK which has a publicly known algorithmic complexity issue when doing operations on large numbers, causing denial of service (see issue # JDK-6560193 [4]). A third party can manipulate file time headers in a TAR file by placing a number with a very long fraction (300,000 digits) or a number with exponent notation (such as “9e9999999”) within a file modification time header, and the parsing of files with these headers will take hours instead of seconds, leading to a denial of service via exhaustion of CPU resources. This issue is similar to CVE-2012-2098 [5].
[1]: https://issues.apache.org/jira/browse/COMPRESS-612
[2]: https://pubs.opengroup.org/onlinepubs/9699919799/utilities/pax.html#tag_20_92_13_05
[3]: https://docs.oracle.com/javase/8/docs/api/java/math/BigDecimal.html
[4]: https://bugs.openjdk.org/browse/JDK-6560193
[5]: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2098
Only applications using CompressorStreamFactory class (with auto-detection of file types), TarArchiveInputStream and TarFile classes to parse TAR files are impacted. Since this code was introduced in v1.22, only that version and later versions are impacted.
"Vulnerabilidad de Validación de Entrada Incorrecta, Consumo de Recursos Incontrolado en Apache Commons Compress en el análisis TAR. Este problema afecta a Apache Commons Compress: desde 1.22 antes de 1.24.0. Se recomienda a los usuarios actualizar a la versión 1.24.0, que soluciona el problema. Un tercero puede crear un archivo TAR malformado manipulando los encabezados de los tiempos de modificación del archivo, que cuando se analizan con Apache Commons Compress, causarán un problema de denegación de servicio debido al consumo de CPU. En la versión 1.22 de Apache Commons Compress, se soportan tiempos de modificación de archivos con mayor precisión (problema # COMPRESS-612 [1]). El formato de los encabezados extendidos de PAX que contienen estos datos consta de dos números separados por un punto [2], que indica segundos y precisión de subsegundos (por ejemplo, “1647221103.5998539”). Los campos afectados son ""atime"", ""ctime"", ""mtime"" y ""LIBARCHIVE.creationtime"". No se realiza ninguna validación de entrada antes del análisis de los valores del encabezado. El análisis de estos números utiliza la clase BigDecimal [3] del JDK, que tiene un problema de complejidad algorítmica conocido públicamente al realizar operaciones con números grandes, lo que provoca denegación de servicio (consulte el problema # JDK-6560193 [4]). Un tercero puede manipular los encabezados de tiempo de un archivo TAR colocando un número con una fracción muy larga (300.000 dígitos) o un número con notación de exponente (como ""9e9999999"") dentro de un encabezado de tiempo de modificación del archivo y el análisis de los archivos. con estos encabezados llevará horas en lugar de segundos, lo que provocará una denegación de servicio por agotamiento de los recursos de la CPU. Este problema es similar a CVE-2012-2098 [5].
[1]: https://issues.apache.org/jira/browse/COMPRESS-612
[2]: https://pubs.opengroup.org/onlinepubs/9699919799/utilities/pax.html#tag_20_92_13_05
[3]: https://docs.oracle.com/javase/8/docs/api/java/math/BigDecimal.html
[4]: ??https://bugs.openjdk.org/browse/JDK-6560193
[5]: https: //cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2098
Solo se ven afectadas las aplicaciones que utilizan la clase CompressorStreamFactory (con detección automática de tipos de archivos), TarArchiveInputStream y TarFile para analizar archivos TAR. Dado que este código se introdujo en la versión 1.22, solo esa versión y las versiones posteriores se ven afectadas."
CVSS Scores
SSVC
- Decision:-
Timeline
- 2023-09-11 CVE Reserved
- 2023-09-14 CVE Published
- 2024-06-28 EPSS Updated
- 2024-08-02 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-20: Improper Input Validation
- CWE-400: Uncontrolled Resource Consumption
CAPEC
References (2)
| URL | Tag | Source |
|---|---|---|
| https://security.netapp.com/advisory/ntap-20231020-0003 | Third Party Advisory |
|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|---|---|
| https://lists.apache.org/thread/5xwcyr600mn074vgxq92tjssrchmc93c | 2024-02-21 |
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Apache Search vendor "Apache" | Commons Compress Search vendor "Apache" for product "Commons Compress" | >= 1.22 < 1.24.0 Search vendor "Apache" for product "Commons Compress" and version " >= 1.22 < 1.24.0" | - |
Affected
| ||||||