[研究] System.IO.Packaging 8.0 有 CVE-2024-43483 和 CVE-2024-43484 弱點

[研究] System.IO.Packaging 8.0 有 CVE-2024-43483 和 CVE-2024-43484 弱點

2024-10-25

OWASP Dependency-Track 報告 System.IO.Packaging 8.0 有高等級 CVE-2024-43483 和 CVE-2024-43484 弱點，但是新版 9.0.0-preview.7.24405.7 是 Preview，機於穩定性考慮，不想升級。

**********

移除被拒絕：因為 'ClosedXML.0.102.3' 相依於它，所以無法解除安裝 'System.IO.Packaging.8.0.0'。

********************************************************************************

【CVE-2024-43483分析】

CWE-407: Inefficient Algorithmic Complexity 低效的演算法複雜性
https://cwe.mitre.org/data/definitions/407

CVE-2024-43483 .NET、.NET Framework 和 Visual Studio 阻斷服務弱點
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43483
Exploitability assessment 利用可能性低

以敝人使用 Windows Server 2022 和 .NET Framework 4.8 來看，影響是 DoS

5044099 =>

2024 年 10 月 8 日 - KB5044099 Windows Server 2022 的 .NET Framework 3.5、4.8 和 4.8.1 的累積更新
https://support.microsoft.com/zh-tw/topic/october-8-2024-kb5044099-cumulative-update-for-net-framework-3-5-4-8-and-4-8-1-for-windows-server-2022-229927f1-69ca-4b4a-b646-c0ef2e2ab3c6

Security Update也有了

https://catalog.update.microsoft.com/Search.aspx?q=KB5044035

OS、.NET Framework 修補了，加上網路環境、資安設備有 DoS 防護，System.IO.Packaging 8.0 的 CVE-2024-43483 弱點應該沒問題了。

********************************************************************************

【CVE-2024-43484分析】

CWE-407: Inefficient Algorithmic Complexity 低效的演算法複雜性
https://cwe.mitre.org/data/definitions/407

CWE-789: Memory Allocation with Excessive Size Value 記憶體分配值過大
https://cwe.mitre.org/data/definitions/789

CVE-2024-43484 .NET、.NET Framework 和 Visual Studio 阻斷服務弱點
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43484
Exploitability assessment 利用可能性低

情況同上。

********************************************************************************

(完)