PT-2021-17723 · Stack Dst · Stack Dst

Publicado

2021-02-22

·

Atualizado

2022-07-12

·

CVE-2021-28035

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
versões do stack dst anteriores à 0.6.1
Descrição:
Foi descoberta uma falha no crate stack dst para Rust. A função push inner aumenta o comprimento interno da matriz e, em seguida, chama val.clone(). Se a chamada val.clone() entrar em pânico, a pilha pode descartar um elemento já descartado ou descartar memória não inicializada.
Recomendações:
Para versões anteriores à 0.6.1, atualize para a versão 0.6.1 ou posterior para resolver o problema. Como solução temporária, considere modificar a função push inner para aumentar o comprimento da matriz após os elementos serem clonados, de forma semelhante à correção implementada em 2a4d538.

Correção

Use of Uninitialized Resource

Double Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-908CWE-415

Identificadores relacionados

CVE-2021-28035
GHSA-45W7-7G63-2M5W
GHSA-8MJX-H23H-W2PG
RUSTSEC-2021-0033

Produtos afetados

Stack Dst