PT-2020-17645 · Rust · Multiqueue Crate

Publicado

2020-12-25

·

Atualizado

2021-08-25

·

CVE-2020-36463

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
crate multiqueue até 25/12/2020
Descrição
Uma falha no crate multiqueue permite implementações incondicionais de Send para tipos usados em implementações de filas, tais como InnerSend<RW, T>, InnerRecv<RW, T>, FutInnerSend<RW, T> e FutInnerRecv<RW, T>. Isso pode levar os usuários a enviar tipos não-Send para outras threads, resultando em bugs de corrida de dados ou outro comportamento indefinido.
Recomendações
Para a crate multiqueue até 25/12/2020, considere restringir o uso dos tipos afetados (InnerSend<RW, T>, InnerRecv<RW, T>, FutInnerSend<RW, T>, FutInnerRecv<RW, T>) para evitar o envio de tipos não-Send para outras threads até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Command Injection

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-362

Identificadores relacionados

CVE-2020-36463
GHSA-JF43-3V8J-QWWR
GHSA-R2X6-VRXX-JGV4
RUSTSEC-2020-0143

Produtos afetados

Multiqueue Crate