PT-2020-17519 · Rust · Arr Crate
Publicado
2020-08-25
·
Atualizado
2021-08-25
·
CVE-2020-35887
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate
arr até 25/08/2020Descrição
O problema diz respeito a um estouro de buffer nas implementações de
Index e IndexMut. Além disso, há problemas com a implementação dos limites de Sync/Send, permitindo que tipos que não sejam Sync/Send sejam contrabandeados através dos limites entre threads. A função Array::new from template() libera memória não inicializada.Recomendações
Para versões até 25/08/2020, considere atualizar para uma versão lançada após 25/08/2020 para corrigir o estouro de buffer e outras falhas de segurança.
Como solução temporária, considere restringir o uso das implementações
Index e IndexMut para evitar estouros de buffer até que um patch esteja disponível.Evite usar a função
Array::new from template() até que o problema com a liberação de memória não inicializada seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Buffer Overflow
Race Condition
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Arr Crate