PT-2020-17628 · Rust · Cache Crate
Publicado
2020-11-24
·
Atualizado
2021-08-25
·
CVE-2020-36448
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
crate cache até 24/11/2020
Descrição
Uma falha no cache crate permite que os usuários insiram tipos que não são Send ou não são Sync, como
Arc<Cell<T>> ou Rc<T>, como K em Cache<K>. Isso pode levar a corridas de dados, o que pode resultar em corrupção de memória. Além disso, o uso de tipos como Cell<T> ou RefCell<T>, que são Send mas não Sync, também pode criar corridas de dados.Recomendações
Para versões do crate cache até 24/11/2020, considere restringir o uso de
Cache<K> apenas a tipos Send e Sync para minimizar o risco de corridas de dados e corrupção de memória. Como solução temporária, evite usar tipos não-Send, como Arc<Cell<T>> ou Rc<T>, como K em Cache<K>, e evite usar tipos como Cell<T> ou RefCell<T>, que são Send, mas não Sync.Exploit
Correção
Command Injection
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cache Crate