Vulnerabilidad en Aircompressor (CVE-2024-36114)

Aircompressor es una librería con puertos de los algoritmos de compresión Snappy, LZO, LZ4 y Zstandard a Java. Todas las implementaciones de descompresor de Aircompressor (LZ4, LZO, Snappy, Zstandard) pueden bloquear la JVM para determinadas entradas y, en algunos casos, también filtrar el contenido de otra memoria del proceso Java (que podría contener información confidencial). Al descomprimir ciertos datos, los descompresores intentan acceder a la memoria fuera de los límites de las matrices de bytes o búferes de bytes dados. Debido a que Aircompressor utiliza la clase JDK `sun.misc.Unsafe` para acelerar el acceso a la memoria, no se realizan comprobaciones de los límites adicionales y esto tiene consecuencias de seguridad similares a las del acceso fuera de los límites en C o C++, es decir, puede conducir a no comportamiento determinista o bloquear la JVM. Los usuarios deben actualizar a Aircompressor 0.27 o posterior donde se hayan solucionado estos problemas. Al descomprimir datos de usuarios que no son de confianza, esto puede aprovecharse para un ataque de denegación de servicio al bloquear la JVM o para filtrar otra información confidencial del proceso Java. No se conocen workarounds para este problema.