PT-2020-17636 · Rust · Slock
Publicado
2020-11-17
·
Atualizado
2021-08-25
·
CVE-2020-36455
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Crate slock até 17/11/2020
Descrição
O problema diz respeito ao crate slock, no qual
Slock<T> implementa incondicionalmente Send e Sync. Isso permite o envio de tipos não-Send para outras threads, o que pode levar a corridas de dados e corrupção de memória devido a essas corridas.Recomendações
Para versões do slock crate até 17/11/2020, considere restringir o uso de
Slock<T> para impedir o envio de tipos não-Send para outras threads até que uma correção esteja disponível. Como solução temporária, evite usar Slock<T> com tipos não-Send para minimizar o risco de corridas de dados e corrupção de memória.Exploit
Correção
Command Injection
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Slock