Katalog CVE

CVE-2026-41677

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

rust-openssl dostarcza powiązania OpenSSL dla języka programowania Rust. W wersjach od 0.9.0 do przed 0.10.78, API *_from_pem_callback nie weryfikowały długości zwracanej przez callback użytkownika, co mogło prowadzić do nadmiernego odczytu bufora przez niektóre wersje OpenSSL.

Ocena ryzyka

Organizacje mogą być narażone na ryzyko nadmiernego odczytu pamięci, co może prowadzić do ujawnienia wrażliwych danych. Wersje OpenSSL 3.x nie są dotknięte tą podatnością.

Rekomendacja

Zaleca się aktualizację rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.9.0 to before 0.10.78, the *_from_pem_callback APIs did not validate the length returned by the user's callback. A password callback that returns a value larger than the buffer it was given can cause some versions of OpenSSL to over-read this buffer. OpenSSL 3.x is not affected by this. This vulnerability is fixed in 0.10.78.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS