PT-2020-17559 · Rust · Thex
Publicado
2020-12-08
·
Atualizado
2021-08-25
·
CVE-2020-35927
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Crate thex até 08/12/2020
Descrição
Uma falha no crate thex permite corridas de dados entre threads de tipos que não são
Send. Especificamente, thex::Thex<T> implementa Sync para todos os tipos T, mas não possui uma restrição para T: Send. Isso permite que tipos não-Send, como Rc, sejam enviados entre threads, o que pode provocar comportamento indefinido e corrupção de memória.Recomendações
Para o crate thex até 08/12/2020, considere restringir o uso de
thex::Thex<T> apenas a tipos Send para minimizar o risco de exploração. Como solução temporária, evite usar thex::Thex<T> com tipos não-Send, como Rc, até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thex