PT-2020-17624 · Rust · Async-Coap
Publicado
2020-12-08
·
Atualizado
2021-08-25
·
CVE-2020-36444
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate async-coap até 08/12/2020
Descrição
Foi descoberta uma falha no crate async-coap, na qual Send e Sync são implementados para
ArcGuard<RC, T> sem limites de trait em RC. Isso permite que os usuários enviem RC: !Send para outras threads e também acesse RC: !Sync simultaneamente a partir de várias threads, o que pode resultar em corrupção de memória devido a conflito de dados ou outro comportamento indefinido causado pelo envio de T: !Send para outras threads.Recomendações
Para versões do crate async-coap até 08/12/2020, considere restringir o uso de
ArcGuard<RC, T> para impedir o envio de RC: !Send para outras threads e o acesso simultâneo a RC: !Sync a partir de múltiplas threads até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Race Condition
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Async-Coap