内容简介:上周,Rust团队获悉了Rust标准库中的一个漏洞,他们分享了这些漏洞。该漏洞是由Rust 1.34.0和1.34.1版本中一个函数引起的。编号为Rust标准库包含`Error::type_id`方法,该方法允许您获取基础错误类型的TypeId(类型的全局唯一标识符)以向下转换回原始类型。当手动实现该方法或与“Error::downcast’”系列函数交互以将类型强制转换为错误类型时,会发生此漏洞。虽然标准库具有`Error::type_id`的默认实现,但它也可以由下游包进行手动实现。这可能会导致安全问题
上周,Rust团队获悉了Rust标准库中的一个漏洞,他们分享了这些漏洞。该漏洞是由Rust 1.34.0和1.34.1版本中一个函数引起的。编号为 CVE-2019-12083 。
漏洞是什么?
Rust标准库包含`Error::type_id`方法,该方法允许您获取基础错误类型的TypeId(类型的全局唯一标识符)以向下转换回原始类型。当手动实现该方法或与“Error::downcast’”系列函数交互以将类型强制转换为错误类型时,会发生此漏洞。
虽然标准库具有`Error::type_id`的默认实现,但它也可以由下游包进行手动实现。这可能会导致安全问题,例如越界读写。如果您的代码没有'`Error::type_id`的手动实现,那么它是安全的。
此漏洞影响上个月发布的两个版本Rust 1.34.0和1.34.1。此外,由于该函数是从Rust 1.0.0开始的所有版本的一部分,因此该漏洞也可能影响使用nightly版本。
有哪些缓解措施?
Rust团队建议立即删除Error::type_id的手动实现,并继承默认实现,这是一个安全的选项。作为一项长期措施,该团队计划破坏此功能的稳定性,这对于调用Error::type_id的用户和覆盖Error::type_id的用户来说将是一个重大变化。
该团队进一步写道:“我们将在2019-05-14发布1.34.2版本,该版本将恢复#58048并破坏Error::type_id函数的稳定性。即将推出的1.35.0版本以及测试版/nightly版本也将以不稳定性进行更新。“
更多详情阅读 Rust官方网站 上的完整公告。
下面关于 Rust 的文章您也可能喜欢,不妨参考下:
- Rust 1.8发布下载,放弃了Unix系统的Make编译系统 https://www.linuxidc.com/Linux/2016-04/130451.htm
- Rust 1.2 稳定版发布下载,Mozilla 编程语言 https://www.linuxidc.com/Linux/2015-08/121290.htm
- 为什么我说 Rust 是靠谱的编程语言 https://www.linuxidc.com/Linux/2015-05/117711.htm
- Rust 1.2带来了更快的编译速度和并行代码生成 https://www.linuxidc.com/Linux/2015-08/121830.htm
- Rust语言2017年调查报告 https://www.linuxidc.com/Linux/2017-09/146799.htm
- 为什么 Linux 用户应该尝试Rust https://www.linuxidc.com/Linux/2018-09/1544.htm
- 如何在 Linux 中安装 Rust 编程语言 https://www.linuxidc.com/Linux/2019-01/156211.htm
- 如何在Linux中安装Rust编程语言 https://www.linuxidc.com/Linux/2019-03/157229.htm
- Rust 1.32 发布,默认禁用Jemalloc https://www.linuxidc.com/Linux/2019-01/156429.htm
Rust 的详细介绍 : 请点这里
Rust 的下载地址 : 请点这里
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-05/158684.htm
以上所述就是小编给大家介绍的《Rust 1.34.0和1.34.1受到一个可能导致内存不安全的漏洞的影响》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- Drupal 发出高危漏洞警告 超 100 万网站受到影响
- 远程桌面协议曝漏洞 大部分 Windows 版本受到影响
- 超过 115000 个 Drupal 站点仍易受到高危漏洞攻击
- 2017年思科哪些认证将受到追捧?
- 2017年思科哪些认证将受到追捧?
- 受到DNS攻击,加密货币如何防止?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深入浅出MFC (第二版)
侯俊杰 / 华中科技大学出版社 / 2001-1 / 80.00元
《深入浅出MFC》分为四大篇。第一篇提出学习MFC程序设计之前的必要基础,包括Widnows程序的基本观念以及C++的高阶议题。“学前基础”是相当主观的认定,但作者是甚于自己的学习经验以及教学经验,其挑选应该颇具说服力。第二篇介绍Visual C++整合环境开发工具。此篇只是提纲挈领,并不企图取代Visual C++使用手册;然而对于软件使用的老手,此篇或已足以帮助掌握Visual C++整合环境......一起来看看 《深入浅出MFC (第二版)》 这本书的介绍吧!
JS 压缩/解压工具
在线压缩/解压 JS 代码
正则表达式在线测试
正则表达式在线测试