PT-2020-17653 · Rust · Max7301
Publicado
2020-12-18
·
Atualizado
2021-08-25
·
CVE-2020-36472
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate max7301 anteriores à 0.2.0
Descrição
O problema decorre do fato de os tipos
ImmediateIO e TransactionalIO implementarem Sync para todos os tipos Expander<EI> contidos, independentemente de o próprio Expander ser seguro para uso entre threads. Isso pode levar ao envio de tipos não seguros entre threads como parte do Expander, resultando em disputas de dados.Recomendações
Para versões do crate max7301 anteriores à 0.2.0, considere atualizar para a versão 0.2.0 ou posterior para resolver o problema. Como solução temporária, evite usar os tipos
ImmediateIO e TransactionalIO entre threads para minimizar o risco de corridas de dados. Restrinja o acesso aos tipos Expander para garantir que eles não sejam enviados entre threads, o que poderia levar à corrupção de dados.Exploit
Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Max7301