search

josecelano / mandelbrot-orbits-rust

Plotting Mandelbrot Set periods using Rust language.
MIT License
1 stars 0 forks source link

Fix CVE-2021-32810 #1

Closed josecelano closed 2 years ago

josecelano commented 2 years ago

The image dependency has a transitive dependency with a vulnerability:

  Cargo.lock (cargo)
  ==================
  Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1)

  ┌─────────────────┬────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
  │     Library     │ Vulnerability  │ Severity │ Installed Version │ Fixed Version │                            Title                             │
  ├─────────────────┼────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
  │ crossbeam-deque │ CVE-2021-32810 │ CRITICAL │ 0.8.0             │ 0.7.4, 0.8.1  │ rust-crossbeam-deque: race condition may lead to double free │
  │                 │                │          │                   │               │ https://avd.aquasec.com/nvd/cve-2021-32810                   │
  └─────────────────┴────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
├── image v0.24.3
│   ├── bytemuck v1.11.0
│   ├── byteorder v1.4.3
│   ├── color_quant v1.1.0
│   ├── exr v1.4.2
│   │   ├── bit_field v0.10.1
│   │   ├── deflate v1.0.0
│   │   │   └── adler32 v1.2.0
│   │   ├── flume v0.10.14
│   │   │   ├── futures-core v0.3.21
│   │   │   ├── futures-sink v0.3.21
│   │   │   ├── nanorand v0.7.0
│   │   │   │   └── getrandom v0.2.7
│   │   │   │       ├── cfg-if v1.0.0
│   │   │   │       └── libc v0.2.126
│   │   │   ├── pin-project v1.0.11
│   │   │   │   └── pin-project-internal v1.0.11 (proc-macro)
│   │   │   │       ├── proc-macro2 v1.0.42
│   │   │   │       │   └── unicode-ident v1.0.2
│   │   │   │       ├── quote v1.0.20
│   │   │   │       │   └── proc-macro2 v1.0.42 (*)
│   │   │   │       └── syn v1.0.98
│   │   │   │           ├── proc-macro2 v1.0.42 (*)
│   │   │   │           ├── quote v1.0.20 (*)
│   │   │   │           └── unicode-ident v1.0.2
│   │   │   └── spin v0.9.4
│   │   │       └── lock_api v0.4.6
│   │   │           └── scopeguard v1.1.0
│   │   ├── half v1.8.2
│   │   ├── inflate v0.4.5
│   │   │   └── adler32 v1.2.0
│   │   ├── lebe v0.5.1
│   │   ├── smallvec v1.9.0
│   │   └── threadpool v1.8.1
│   │       └── num_cpus v1.13.0
│   │           └── libc v0.2.126
│   ├── gif v0.11.4
│   │   ├── color_quant v1.1.0
│   │   └── weezl v0.1.7
│   ├── jpeg-decoder v0.2.6
│   │   └── rayon v1.5.1
│   │       ├── crossbeam-deque v0.8.0
│   │       │   ├── cfg-if v1.0.0
│   │       │   ├── crossbeam-epoch v0.9.5
│   │       │   │   ├── cfg-if v1.0.0
│   │       │   │   ├── crossbeam-utils v0.8.5
│   │       │   │   │   ├── cfg-if v1.0.0
│   │       │   │   │   └── lazy_static v1.4.0
│   │       │   │   ├── lazy_static v1.4.0
│   │       │   │   ├── memoffset v0.6.4
│   │       │   │   │   [build-dependencies]
│   │       │   │   │   └── autocfg v1.0.1
│   │       │   │   └── scopeguard v1.1.0
│   │       │   └── crossbeam-utils v0.8.5 (*)
│   │       ├── either v1.6.1
│   │       └── rayon-core v1.9.1
│   │           ├── crossbeam-channel v0.5.1
│   │           │   ├── cfg-if v1.0.0
│   │           │   └── crossbeam-utils v0.8.5 (*)
│   │           ├── crossbeam-deque v0.8.0 (*)
│   │           ├── crossbeam-utils v0.8.5 (*)
│   │           ├── lazy_static v1.4.0
│   │           └── num_cpus v1.13.0 (*)
│   │       [build-dependencies]
│   │       └── autocfg v1.0.1

I've opened an issue.

josecelano commented 2 years ago

Fixed with https://github.com/josecelano/mandelbrot-orbits-rust/commit/c0246740a299735296231353aaeecc005e0ffe00