根据用户的要求,我需要从提供的GitHub漏洞页面截图中提取关键信息,并用简洁的中文Markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Maliciously crafted index file may lead to panic (恶意构造的索引文件可能导致恐慌/崩溃)。 描述 (Description): 的 v4 版本索引解码器在应用路径名称前缀长度之前,会验证该长度。 恶意构造的索引文件可能触发越界操作,导致运行时恐慌(panic),从而造成拒绝服务(DoS)。 此问题仅影响 索引格式版本 4。早期版本(v1、v2 和 v3)不受影响。 攻击者可以供应恶意构造的 文件,导致使用 的应用在读取索引时崩溃。 利用此漏洞需要能够修改或注入本地仓库磁盘中的索引文件。这通常意味着对 目录的写入访问权限。 2. 影响范围 (Impact/Scope): 受影响的包: 受影响的版本: 修复版本: 严重程度 (Severity): 2.8 / 10 (Low - 低) CVSS 3.1 指标: 攻击向量: Local (本地) 攻击复杂度: Low (低) 所需权限: Low (低) 用户交互: Required (需要) 范围: Unchanged (未变) 机密性/完整性/可用性: None/None/Low (无/无/低) CVE ID: CVE-2024-33782 弱点: CWE-129 (Improper Validation of Array Index / 数组索引验证不当) 3. 修复方案 (Patches/Mitigation): 用户应升级到 或最新的 以缓解此漏洞。 4. 代码检查: 页面中没有包含具体的 POC 代码或利用代码块。只有文字描述。 5. 格式化输出: 将上述信息整理成 Markdown 格式。 Drafting the response: 标题: 漏洞总结 概述: 恶意构造的索引文件可能导致 panic。 详情: go-git v4 索引解码器验证路径前缀长度时存在逻辑问题,导致越界访问和 DoS。仅影响索引格式 v4。 影响: go-git v5 恐慌 (通常指程序崩溃) "index file" -> 索引文件 "out-of-bounds slice operation" -> 越界切片操作 "denial-of-service (DoS)" -> 拒绝服务 Final check of the extracted data against the image. Package: github.com/go-git/go-git/v5 Affected versions: 漏洞总结 漏洞概述 标题: Maliciously crafted index file may lead to panic (恶意构造的索引文件可能导致程序崩溃) 描述: 的 v4 版本索引解码器在应用路径名称前缀长度之前,会验证该长度。恶意构造的索引文件可能触发越界切片操作,导致运行时恐慌(panic),从而造成拒绝服务(DoS)。 影响条件: 此问题仅影响 索引格式版本 4。早期版本(v1、v2 和 v3)不受影响。攻击者需要能够修改或注入本地仓库磁盘中的索引文件(通常意味着对 目录的写入访问权限)。 影响范围 受影响包: 受影响版本: 修复版本: 严重程度: 2.8 / 10 (Low - 低) CVE ID: CVE-2024-33782 CVSS 指标: 攻击向量为本地 (Local),攻击复杂度低 (Low),需要用户交互 (Required),主要影响可用性 (Availability: Low)。 修复方案 用户应升级到 或最新的 以缓解此漏洞。 代码/POC 页面中未包含具体的 POC 代码或利用代码。