PT-2021-24259 · Unknown · Columnar Crate
Publicado
2021-01-07
·
Atualizado
2022-06-16
·
CVE-2021-45685
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
versões do crate columnar até 07/01/2021
Descrição:
A vulnerabilidade permite que implementações arbitrárias de
Read leiam a partir de um buffer não inicializado passado por ColumnarReadExt::read typed vec(), levando à exposição de memória. Isso também pode resultar no retorno de contagens de bytes incorretas ao buffer. A leitura de memória não inicializada pode produzir valores indefinidos, potencialmente invocando comportamento indefinido.Recomendações:
Para versões do crate columnar até 07/01/2021, considere desativar a função
ColumnarReadExt::read typed vec() até que um patch esteja disponível para impedir que implementações arbitrárias de Read acessem memória não inicializada.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Columnar Crate