PT-2020-17503 · Rust · Rusqlite

Publicado

2020-04-23

·

Atualizado

2022-01-04

·

CVE-2020-35871

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do rusqlite anteriores à 0.23.0
Descrição
O problema diz respeito a violações de segurança de memória no crate rusqlite para Rust. Essas violações podem ocorrer por diversos meios, incluindo uma corrida de dados na API Auxdata, uso após liberação na API Auxdata, UnlockNotification, VTab / VTabCursor, um uso após liberação em sessions.rs, o tipo repr(Rust), tratamento incorreto de strings de formato por rusqlite::trace::log e create module.
Recomendações
Para versões anteriores à 0.23.0, atualize para a versão 0.23.0 ou posterior para resolver os problemas de segurança de memória. Como solução temporária, considere restringir o uso dos componentes vulneráveis, como a API Auxdata, UnlockNotification, VTab / VTabCursor, sessions.rs, o tipo repr(Rust), rusqlite::trace::log e create module, até que um patch seja aplicado.

Correção

Use of Externally-Controlled Format String

Race Condition

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-134CWE-351CWE-362CWE-416

Identificadores relacionados

CVE-2020-35871
GHSA-28PH-F7GX-FQJ8
GHSA-3CGF-9M6X-PWWR
GHSA-6Q5W-M3C5-RV95
GHSA-8H4J-VM3R-VCQ3
GHSA-8R7Q-R9MX-35RH
GHSA-G4W7-3QR8-5623
GHSA-Q3CC-7P7G-392C
GHSA-RJH8-P66P-JRH5
RUSTSEC-2020-0014

Produtos afetados

Rusqlite