CVE-2020-25016

Versões do crate rgb anteriores à 0.8.20

Foi descoberta uma falha de segurança no crate rgb, que pode levar à desreferência de ponteiros arbitrários ou à divulgação de memória não inicializada. Isso ocorre porque as estruturas podem ser tratadas como bytes para operações de leitura e gravação, e o crate não restringe corretamente as estruturas wrapper a tipos seguros. Se um tipo T encapsulado em RGB<T> contiver preenchimento, visualizá-lo como bytes pode expor o conteúdo de memória não inicializada. Se T contiver um ponteiro, modificá-lo como bytes pode levar à desreferência de ponteiros arbitrários. Quaisquer invariantes de segurança e/ou validade para T podem ser violadas.

Para versões anteriores à 0.8.20, o problema foi resolvido exigindo que todos os tipos encapsulados em estruturas fornecidas pelo crate RGB implementassem uma característica de marcador inseguro. Atualize para a versão 0.8.20 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da estrutura de encapsulamento RGB<T> até que a atualização seja aplicada.