PT-2020-17616 · Rust · Conqueue
Publicado
2020-11-24
·
Atualizado
2021-08-25
·
CVE-2020-36437
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate conqueue anteriores à 0.4.0
Descrição
A vulnerabilidade permite o envio de tipos que não sejam
Send para outras threads ao invocar (&QueueSender<T>).send(), o que pode levar à corrupção de memória ao criar conflitos de acesso com tipos como Rc<T> ou Arc<Cell<T>>.Recomendações
Para versões anteriores à 0.4.0, atualize para a versão 0.4.0 ou posterior, que impõe
T: Send a ambas as implementações Send/Sync para QueueSender<T>/QueueReceiver<T>. Como solução alternativa temporária, considere restringir o uso de QueueSender<T> para impedir o envio de tipos não-Send para outras threads.Correção
Race Condition
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Conqueue