PT-2020-17621 · Rust · Abox

Publicado

2020-11-10

·

Atualizado

2021-08-25

·

CVE-2020-36441

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do crate abox anteriores à 0.4.1
Descrição
Um problema no crate abox permite a implementação de Send e Sync para AtomicBox<T> sem exigir T: Send e T: Sync. Isso possibilita a criação de corridas de dados para T: !Sync e o envio de T: !Send para outra thread, violando as garantias de segurança de threads em tempo de compilação do Rust e potencialmente levando a um comportamento indefinido, como corrupção de memória causada por corridas de dados.
Recomendações
Para versões do crate abox anteriores à 0.4.1, atualize para a versão 0.4.1 ou posterior, que inclui a implementação corrigida com limites de trait adicionados T: Send e T: Sync para as implementações Send e Sync, respectivamente.

Correção

Race Condition

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-362CWE-119

Identificadores relacionados

CVE-2020-36441
GHSA-R626-FC64-3Q28
RUSTSEC-2020-0121

Produtos afetados

Abox