CVE-2021-29931

Crate arenavec até 12/01/2021

Crate arenavec até a versão 0.1.1

Foi descoberta uma falha no crate arenavec em que as versões afetadas não protegiam contra possíveis panics que poderiam ocorrer a partir das funções fornecidas pelo usuário T::default() e T::drop(). Um panic dentro de T::default() leva ao descarte de T não inicializado quando invocado a partir de common::Slice::<T, H>::new(). Um panic dentro de T::drop() leva a um descarte duplo de T quando invocado a partir de common::SliceVec::<T, H>::resize with() ou common::SliceVec::<T, H>::resize(). Qualquer um dos casos causa corrupção de memória na memória heap.

Para versões até 12/01/2021, considere desativar a função T::drop() para evitar problemas de liberação dupla até que um patch esteja disponível.

Para versões até 0.1.1, restrinja o uso de T::default() para evitar a liberação de memória não inicializada até que uma correção seja aplicada.

Como solução temporária, evite usar as funções common::Slice::<T, H>::new(), common::SliceVec::<T, H>::resize with() e common::SliceVec::<T, H>::resize() com as funções T::default() e T::drop() fornecidas pelo usuário até que o problema seja resolvido.