CVE-2026-41677
CriticalSummary
rust-openssl dostarcza powiązania OpenSSL dla języka programowania Rust. W wersjach od 0.9.0 do przed 0.10.78, API *_from_pem_callback nie weryfikowały długości zwracanej przez callback użytkownika, co mogło prowadzić do nadmiernego odczytu bufora przez niektóre wersje OpenSSL.
Risk Assessment
Organizacje mogą być narażone na ryzyko nadmiernego odczytu pamięci, co może prowadzić do ujawnienia wrażliwych danych. Wersje OpenSSL 3.x nie są dotknięte tą podatnością.
Recommendation
Zaleca się aktualizację rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność.
Original NVD description (English source)
rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.9.0 to before 0.10.78, the *_from_pem_callback APIs did not validate the length returned by the user's callback. A password callback that returns a value larger than the buffer it was given can cause some versions of OpenSSL to over-read this buffer. OpenSSL 3.x is not affected by this. This vulnerability is fixed in 0.10.78.

