PT-2020-17635 · Rust · Parc Crate
Publicado
2020-11-14
·
Atualizado
2021-08-25
·
CVE-2020-36454
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
crate parc até 14/11/2020
Descrição
Uma falha no crate parc permite o acesso simultâneo a um T não-Sync, o que pode causar comportamentos indefinidos, como corridas de dados. Isso ocorre porque LockWeak implementa Send incondicionalmente sem limites de trait em T, apesar de não possuir T e fornecer apenas &T.
Recomendações
Para o crate parc até 14/11/2020, considere restringir o uso de LockWeak para impedir o acesso simultâneo a T não-Sync até que um patch esteja disponível. Como solução temporária, certifique-se de que T implemente Sync para evitar corridas de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Race Condition
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parc Crate