PT-2020-17644 · Rust · Syncpool
Publicado
2020-11-29
·
Atualizado
2021-08-25
·
CVE-2020-36462
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate syncpool anteriores à 0.1.6
Descrição
Uma falha no crate syncpool permite o envio de tipos não-Send para outras threads, levando a corridas de dados quando tipos não-Send como
Cell<T> ou Rc<T> estão contidos dentro de Bucket2 e são enviados através dos limites das threads. Isso pode potencialmente levar à corrupção de memória. A falha foi corrigida adicionando-se uma restrição T: Send à implementação Send de Bucket2<T>.Recomendações
Para versões anteriores à 0.1.6, atualize para a versão 0.1.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso de tipos não-Send, como
Cell<T> ou Rc<T>, dentro de Bucket2 para minimizar o risco de corridas de dados e corrupção de memória.Exploit
Correção
Command Injection
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Syncpool