PT-2020-20362 · Google · Asylo
Kang Li
+3
·
Publicado
2020-08-12
·
Atualizado
2020-08-13
·
CVE-2020-8905
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Asylo anteriores à 0.6.0
Descrição
Uma falha na validação do comprimento do buffer permite que um invasor leia dados não autorizados. A função
enc untrusted recvfrom gera um valor de retorno que é deserializado pelo MessageReader e copiado para três extents. O comprimento do terceiro extents é controlado por entrada externa e não é verificado durante a cópia, permitindo que o invasor force o Asylo a copiar dados de memória confiável para um pequeno buffer não confiável.Recomendações
Atualize o Asylo para a versão 0.6.0 ou posterior.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Asylo