中危 “FamStructWrapper”的“serde”反序列化缺乏可能导致内存访问越界的边界检查 (CVE-2023-50711)
CVE编号
CVE-2023-50711利用情况
暂无补丁情况
官方补丁披露时间
2024-01-03漏洞描述
`vmm-sys-util`是一个提供辅助函数和多个`rust-vmm`组件使用的实用工具集合。从版本0.5.0开始,在版本0.12.0之前,`vmm_sys_util::fam::FamStructWrapper`提供的`FamStructWrapper::deserialize`实现存在一个问题,可能导致越界内存访问。反序列化过程中未检查头部中存储的长度与可变数组长度是否匹配。长度不匹配可能导致通过Rust安全方法进行越界内存访问。该问题在版本0.12.0中得到修复,通过插入检查来验证反序列化的头部的可变数组长度是否相等,如果长度不相等则终止反序列化。此外,API已更改,头部长度只能通过Rust不安全代码进行修改。这确保用户无法从Rust安全代码中触发越界访问。解决建议
"将组件 vmm-sys-util 升级至 0.12.0 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/rust-vmm/vmm-sys-util/commit/30172fca2a8e0a38667d934ee5668... | |
| https://github.com/rust-vmm/vmm-sys-util/security/advisories/GHSA-875g-mfp6-g7f9 |
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论