CVE-2021-45694

**Nome do software vulnerável e versões afetadas:

Versões do crate rdiff até a 0.1.2

Descrição:

O problema ocorre quando o crate rdiff utiliza o valor de retorno de uma instância de Read para definir o comprimento de seu vetor de caracteres interno. Se a implementação Read indicar ter lido mais bytes do que o comprimento do buffer fornecido, o comprimento do vetor será definido como maior do que sua capacidade. Isso faz com que as APIs do rdiff retornem memória não inicializada em seus métodos de API. O crate rdiff realiza uma comparação entre duas strings ou arquivos fornecidos.

Recomendações:

Para versões até a 0.1.2, como solução temporária, considere restringir o uso do crate rdiff até que um patch esteja disponível. Evite usar as APIs do rdiff que retornam memória não inicializada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.