PT-2020-17657 · Rust · Buffoon Crate
Publicado
2020-12-31
·
Atualizado
2022-06-16
·
CVE-2020-36512
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
buffoon crate até 31/12/2020
Descrição
A vulnerabilidade permite que implementações arbitrárias de
Read leiam de um buffer não inicializado, resultando em exposição de memória. Isso também pode causar a gravação de um número incorreto de bytes no buffer. A leitura de memória não inicializada produz valores indefinidos, o que pode rapidamente provocar um comportamento indefinido.Recomendações
Para versões do crate buffoon até 31/12/2020, considere restringir o uso da função
InputStream::read exact até que um patch esteja disponível. Como solução temporária, evite passar buffers não inicializados para implementações Read fornecidas pelo usuário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Buffoon Crate