CVE-2021-26308

Versões do crate marc anteriores à 2.0.0

Foi detectada uma falha no crate marc para Rust, na qual uma implementação Read fornecida pelo usuário pode obter acesso ao conteúdo antigo de memória recém-alocada, violando a segurança do sistema. As versões afetadas deste crate passam um buffer não inicializado para uma implementação Read fornecida pelo usuário, especificamente na função Record::read(). Isso permite que implementações Read arbitrárias leiam do buffer não inicializado, expondo potencialmente a memória e retornando números incorretos de bytes gravados no buffer. A leitura de memória não inicializada pode produzir valores indefinidos, levando a um comportamento indefinido.

Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para corrigir o problema, já que a falha foi corrigida no commit 6299af0 por meio da inicialização com zeros da memória recém-alocada. Como solução temporária, considere restringir o uso da função Record::read() até que um patch esteja disponível. Além disso, evite usar implementações arbitrárias de Read com as versões afetadas do crate marc para minimizar o risco de exploração.