PT-2021-24285 · Unknown · Simple Asn1
Publicado
2021-11-14
·
Atualizado
2022-07-12
·
CVE-2021-45711
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
simple asn1 versão 0.6.0
Descrição:
Foi detectada uma falha no crate simple asn1 em que ocorre um panic se os dados UTCTime, fornecidos por um invasor remoto, tiverem um segundo caractere maior que 0x7f. Isso ocorre ao analisar o antigo formato de hora ASN.1 “UTCTime”, e uma operação de fatia de string na função
from der tenta cortar no meio de um caractere UTF-8, causando um panic. A falha é considerada uma vulnerabilidade de segurança porque o crate é frequentemente usado com entradas da rede.Recomendações:
Para a versão 0.6.0 do simple asn1, atualize para a versão 0.6.1 para resolver o problema. Como solução temporária, considere restringir o uso das funções
from der e der decode até que o patch seja aplicado. Evite usar o crate simple asn1 com entradas não confiáveis da rede até que o problema seja resolvido.Correção
RCE
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Simple Asn1