CVE-2022-46149

Versões do Cap'n Proto anteriores às 0.7.1, 0.8.1, 0.9.2 e 0.10.3

Versões da implementação em Rust do Cap'n Proto anteriores às 0.13.7, 0.14.11 e 0.15.2

O Cap'n Proto é um formato de intercâmbio de dados e um sistema de chamada de procedimento remoto (RPC). A vulnerabilidade pode levar a uma falha de segmentação remota em um par ao enviar-lhe uma mensagem maliciosa, caso a vítima execute determinadas ações em um tipo de lista de ponteiros. A exfiltração de memória é possível se a vítima realizar determinadas ações adicionais em um tipo de lista de ponteiros. Para ser vulnerável, um aplicativo deve executar uma sequência específica de ações. O bug está presente no código embutido; portanto, a correção exigirá a recompilação de aplicativos dependentes.

Para versões do Cap'n Proto anteriores às 0.7.1, 0.8.1, 0.9.2 e 0.10.3, atualize para as versões 0.7.1, 0.8.1, 0.9.2 ou 0.10.3.

Para versões da implementação em Rust do Cap'n Proto anteriores a 0.13.7, 0.14.11 e 0.15.2, atualize para as versões 0.13.7, 0.14.11 ou 0.15.2.

Como solução temporária, considere restringir o acesso às funções getFoo() e setFoo() até que um patch esteja disponível.

Evite usar a API AnyList::Reader até que o problema seja resolvido.