ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | StackOverflowError при парсинге вложенных групп | ||||||
|---|---|---|---|---|---|---|---|
| Product: | Sisyphus | Reporter: | Vladislav Glinkin <glinkinvd> | ||||
| Component: | protobuf | Assignee: | manowar <manowar> | ||||
| Status: | ASSIGNED --- | QA Contact: | qa-sisyphus | ||||
| Severity: | normal | ||||||
| Priority: | P5 | CC: | antohami, cas, cow, evg, george, grenka, imz, kotopesutility, lav, manowar, nbr, qa_viy, rider, sbolshakov, sem, shaba, sin, slev, toni, vitty, viy | ||||
| Version: | unstable | ||||||
| Hardware: | x86_64 | ||||||
| OS: | Linux | ||||||
| Attachments: |
|
||||||
Спасибо за сообщение! А как будто специально исправляли... |
Created attachment 19719 [details] скрипт Версия пакета: protobuf-java-3.25.5-alt6 Шаги воспроизведения: 1) Выполнить скрипт из вложения: $ ./exploit_cve_2024_7254_option1.sh Фактический результат: java.lang.StackOverflowError at java.base/java.lang.ClassLoader.addClass(ClassLoader.java:322) at java.base/java.lang.ClassLoader.defineClass1(Native Method) at java.base/java.lang.ClassLoader.defineClass(ClassLoader.java:1027) ... Ожидаемый результат: Выполнение без ошибок Дополнительно: На версии из p10 (protobuf-java-3.16.0-alt1.p10.4 (p10+382451.200.5.1)) данное поведение не воспроизводится. Складывается впечатление, будто пакет уязвим для CVE-2024-7254.