PT-2024-25675 · Dalek+1 · Dalek+1
Dkasak
·
Publicado
2024-05-02
·
Atualizado
2024-06-15
·
CVE-2024-34063
CVSS v3.1
2.5
Baixa
| Vetor | AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
versões 0.5.0 a 0.5.1 do vodozemac
Descrição
O problema está relacionado à redução da capacidade de zeragem de segredos no vodozemac, devido a alterações nas dependências criptográficas de terceiros, especificamente nos crates Dalek. Isso pode resultar na geração de mais cópias na memória de segredos de criptografia e na permanência desses segredos na memória por mais tempo do que o necessário, aumentando marginalmente o risco de exposição de dados confidenciais. O impacto desse problema é considerado baixo, pois as limitações inerentes ao Rust em relação à zeragem absoluta reduzem a gravidade prática dessa falha.
Recomendações
Para as versões 0.5.0 e 0.5.1, atualize para a versão 0.6.0 para resolver o problema.
No momento, não há soluções alternativas conhecidas para essa vulnerabilidade.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dalek
Vodozemac