PT-2020-17642 · Rust · Model Crate

Publicado

2020-11-10

·

Atualizado

2021-08-25

·

CVE-2020-36460

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
model crate até 10/11/2020
Descrição
Foi detectada uma falha na estrutura de dados Shared, que implementa as características Send e Sync sem levar em conta o tipo interno. Isso permite que código Rust seguro provoque uma corrida de dados, o que constitui um comportamento indefinido no Rust. Recomenda-se que os usuários tratem Shared como um tipo inseguro.
Recomendações
Para o crate model até 10/11/2020, recomenda-se que os usuários tratem Shared como um tipo inseguro e não o utilizem fora do contexto de testes. É necessário ter cuidado para garantir que o código de teste não apresente uma corrida de dados, além de uma condição de corrida que se espera que seja detectada pelo teste.

Exploit

Correção

Type Confusion

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-843CWE-362

Identificadores relacionados

CVE-2020-36460
GHSA-MXV6-Q98X-H958
RUSTSEC-2020-0140

Produtos afetados

Model Crate