PT-2021-18545 · Unknown · Parse Duration
Publicado
2021-03-18
·
Atualizado
2022-07-12
·
CVE-2021-29932
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do crate
parse duration até 18/03/2021Descrição
A vulnerabilidade permite que invasores provoquem uma negação de serviço (consumo de CPU e memória) por meio de uma string de duração com um expoente muito grande. Isso é possível porque a função
parse duration::parse usa o tipo BigInt juntamente com a função pow para analisar strings de duração com expoentes. Passar um expoente arbitrariamente grande faz com que a função processe a carga útil por um tempo muito longo, ocupando CPU e memória. Isso pode ser explorado para causar uma negação de serviço se a função for usada para processar entradas não confiáveis.Recomendações
Para versões até 18/03/2021, considere desativar a função
parse duration::parse até que um patch esteja disponível para impedir ataques de negação de serviço por meio de strings de duração com expoentes grandes. Restrinja o acesso a entradas não confiáveis para minimizar o risco de exploração.Correção
Allocation of Resources Without Limits
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Parse Duration