PT-2020-6640 · Unknown+1 · Generator-Rs+1
Publicado
2020-11-16
·
Atualizado
2021-08-25
·
CVE-2020-36471
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do generator-rs anteriores à 0.7.0
Descrição
O problema está relacionado à ausência de limites de envio (Send bounds) na função geradora do crate generator-rs, o que pode levar a conflitos de acesso (data races) quando tipos como
Rc são enviados entre threads. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço.Recomendações
Para versões anteriores à 0.7.0, atualize para a versão 0.7.0 ou posterior para corrigir o problema, aplicando limites de envio na função geradora. Como solução alternativa temporária, considere evitar o uso de tipos como
Rc na função geradora para minimizar o risco de disputas de dados.Exploit
Correção
Race Condition
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Generator-Rs