PT-2020-17558 · Rust · Nanorand
Aspenluxxxy
·
Publicado
2020-12-09
·
Atualizado
2021-08-25
·
CVE-2020-35926
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do nanorand anteriores à 0.5.1
Descrição
Um problema no crate nanorand fez com que geradores de números aleatórios, incluindo o ChaCha, que é criptograficamente seguro, retornassem apenas zeros devido a um tratamento incorreto do truncamento de inteiros. Isso ocorreu porque a implementação utilizou deslocamento de bits para truncar um número de 64 bits em vez de uma conversão
as, levando à geração incorreta de números.Recomendações
Para versões anteriores à 0.5.1, atualize para a versão 0.5.1 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de geradores de números aleatórios que dependam das implementações
RandomGen afetadas até que um patch esteja disponível.Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nanorand