PT-2020-17521 · Rust · Crayon
Publicado
2020-08-31
·
Atualizado
2021-08-25
·
CVE-2020-35889
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
crayon crate até 31/08/2020 para Rust
Descrição
O problema está relacionado a um bug do tipo “time-of-check to time-of-use” (TOCTOU) no
ObjectPool e no HandlePool, o que pode levar a uma violação de segurança de memória via HandleLike. Isso ocorre porque os métodos da característica HandleLike são considerados puros, mas essa suposição é incorreta, já que HandleLike é uma característica pública segura que permite implementações personalizadas.Recomendações
Para o crate crayon até 31/08/2020, considere restringir o uso de
ObjectPool e HandlePool até que uma correção esteja disponível e evite usar implementações personalizadas da trait HandleLike para minimizar o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crayon