PT-2020-17534 · Rust · Actix-Codec
Publicado
2020-01-30
·
Atualizado
2021-08-25
·
CVE-2020-35902
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate actix-codec anteriores à 0.3.0-beta.1
Descrição
O problema está relacionado a um uso após liberação (use-after-free) no Framed, onde as versões afetadas do crate não exigiam que o buffer encapsulado em
Framed fosse fixado, mas o tratavam como se tivesse uma localização fixa na memória. Isso pode resultar em um uso após liberação.Recomendações
Para versões do crate actix-codec anteriores à 0.3.0-beta.1, atualize para a versão 0.3.0-beta.1 ou posterior, que corrigiu a falha fazendo com que as funções afetadas aceitem
Pin<&mut Self> em vez de &mut self.Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Actix-Codec