CVE-2026-32288 CVSS 5.5 中危

CVE-2026-32288 Go语言tar.Reader内存耗尽漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32288

漏洞类型

拒绝服务

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Go (archive/tar)

漏洞概述

Go语言标准库中的archive/tar包存在安全漏洞。当tar.Reader读取包含大量以“旧GNU稀疏映射”格式编码的稀疏区域的恶意存档时，由于缺乏限制，可能分配无界内存，导致系统资源耗尽。

技术细节

该漏洞位于Go标准库archive/tar的解析逻辑中。攻击者利用“旧GNU稀疏映射”格式，在tar文件中包含大量稀疏区域条目。当受影响版本的Go程序调用tar.Reader读取此类文件时，未对稀疏映射条目数量进行有效校验，导致程序尝试为每个条目分配内存。这种无限制的内存分配会迅速消耗系统可用资源，触发OOM Killer或导致应用程序崩溃，从而实现拒绝服务攻击。

攻击链分析

STEP 1

恶意文件构造

攻击者构造包含大量“旧GNU稀疏映射”条目的特制tar存档文件。

STEP 2

文件传递

通过诱导下载、邮件附件或API上传等方式，将恶意文件发送给目标系统。

STEP 3

触发解析

目标系统上的Go应用程序使用tar.Reader读取该文件。

STEP 4

内存耗尽

解析过程中因未限制稀疏条目数量，导致程序分配大量内存直至系统资源耗尽。

STEP 5

拒绝服务

应用程序崩溃或系统响应停滞，造成服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
    "archive/tar"
    "bytes"
    "fmt"
    "io"
    "os"
)

// This PoC demonstrates the potential for memory exhaustion.
// It creates a tar archive with a sparse file header (conceptual).
// Actual exploitation requires specific "old GNU sparse map" formatting.
func main() {
    // Create a buffer to hold the tar archive
    var buf bytes.Buffer
    tw := tar.NewWriter(&buf)

    // In a real exploit, the header would be manually crafted to include
    // a massive number of entries in the "old GNU sparse map".
    // Standard tar writers might not allow creating the malformed structure easily,
    // so this code represents the *reader* side that crashes.
    
    // Simulating reading a malicious archive
    // (Assuming 'malicious.tar' is a file crafted with numerous sparse entries)
    
    f, err := os.Open("malicious_sparse.tar")
    if err != nil {
        fmt.Println("Please provide a crafted malicious_sparse.tar file")
        return
    }
    defer f.Close()

    tr := tar.NewReader(f)
    for {
        _, err := tr.Next()
        if err == io.EOF {
            break
        }
        if err != nil {
            fmt.Printf("Error parsing tar: %v\n", err)
            return
        }
        // The allocation happens internally during Next() or Read()
    }
}

影响范围

Go (archive/tar) (具体受影响版本请参考官方公告)

防御指南

临时缓解措施

在沙箱或隔离环境中处理不可信的tar文件，并严格监控系统的内存使用情况，设置进程内存阈值以防耗尽。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-32288
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-32288
3 Details https://www.cvedetails.com/cve/CVE-2026-32288/
4 VulDB https://vuldb.com/cve/CVE-2026-32288
5 Link https://go.dev/cl/763766
6 Link https://go.dev/issue/78301
7 Link https://groups.google.com/g/golang-announce/c/0uYbvbPZRWU
8 Link https://pkg.go.dev/vuln/GO-2026-4869

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表