Katalog CVE

CVE-2026-47734

ŚrednieCVSS 5.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, ma podatność, która pozwala klientowi z dostępem do push na wysłanie małego, spreparowanego pakietu, co prowadzi do alokacji ogromnej ilości pamięci. Problem dotyczy wersji od 0.1.0 do 1.2.5 i został naprawiony w wersji 1.2.5.

Ocena ryzyka

Organizacje korzystające z serwera Git opartego na Dulwich, który akceptuje push, mogą być narażone na ataki, które prowadzą do wyczerpania pamięci serwera, co może skutkować jego awarią.

Rekomendacja

Zaleca się aktualizację do Dulwich 1.2.5 lub nowszej oraz ustawienie receive.maxInputSize w konfiguracji repozytorium. Do czasu aktualizacji, dostęp do dulwich-receive-pack powinien być ograniczony do zaufanych klientów lub całkowicie wyłączony na serwerach, które nie potrzebują obsługi push.

Oryginalny opis (angielski, źródło NVD)

Dulwich is a pure-Python implementation of the Git file formats and protocols. Starting in version 0.1.0 and prior to version 1.2.5, a client with push access could push a tiny crafted thin pack (~174 bytes) whose delta header declares a huge dest_size. When dulwich ingested it via add_thin_pack / apply_delta, it would allocate hundreds of MB of memory based on that attacker-controlled size, with no relationship to the actual bytes received. Operators running a Dulwich-based Git server that exposes git-receive-pack (i.e. accepts pushes) - for example via dulwich.server functionality, the HTTP smart server, or anything built on ReceivePackHandler - are impacted. The issue is patched in 1.2.5. add_thin_pack now accepts a max_input_size keyword (bytes; 0/None = unlimited, matching git's semantics), and ReceivePackHandler reads receive.maxInputSize from the repository config and passes it through. Wire reads are counted and a PackInputTooLarge exception is raised once the cap is exceeded - equivalent to git index-pack --max-input-size. Users should upgrade to Dulwich 1.2.5 or later and set receive.maxInputSize in their server's repository config to a sane bound for their environment. On unpatched versions, receive.maxInputSize has no effect, so it cannot be used as a workaround. Until upgrading, operators should restrict dulwich-receive-pack (push) access to trusted, authenticated clients only, or disable it entirely on servers that only need to serve fetches and/or run the server under an OS-level memory limit (e.g. ulimit, cgroups/MemoryMax, or a container memory limit) so a malicious push is killed rather than taking down the host.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS