检测

Rocky Linux 8rust-toolset:rhel8 (RLSA-2022:1894)

medium Nessus 插件 ID 184898

语言:

简介

远程 Rocky Linux 主机缺少安全更新。

描述

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2022:1894 中提及的漏洞的影响。

 - Rust 是专为性能和安全(尤其是安全并发)而设计的多范式通用编程语言。Rust 安全响应 工作组已获通知“std::fs::remove_dir_all”标准库函数容易出现争用条件启用符号链接 (CWE-363)。攻击者可利用此安全问题诱骗特权程序删除其无法以其他方式访问或删除的文件和目录。Rust 1.0.0 至 Rust 1.58.0 会受到此漏洞影响,其中 1.58.1 版本中包含一个补丁。请注意以下构建目标不具有可用的 API 来正确地缓解攻击因此即使使用经过修补的工具链 10.10 (Yosemite) 之前版本的 macOS 和 REDOX 仍然容易受到影响。我们建议所有用户尽快更新到 Rust 1.58.1,尤其是开发预计在特权上下文(包括系统后台程序和 setuid 二进制文件)中运行程序的人员,因为他们最容易受此漏洞影响。请注意,在调用 remove_dir_all 之前于代码库中添加检查不会缓解此漏洞,因为这些检查也容易受到 remove_dir_all 本身等争用条件的影响。现有的缓解措施可以在无争用条件的情况下按预期正常工作。(CVE-2022-21658)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://errata.rockylinux.org/RLSA-2022:1894

https://bugzilla.redhat.com/show_bug.cgi?id=1980080

https://bugzilla.redhat.com/show_bug.cgi?id=2041504

插件详情

严重性: Medium

ID: 184898

文件名: rocky_linux_RLSA-2022-1894.nasl

版本: 1.0

类型: local

发布时间: 2023/11/7

最近更新时间: 2023/11/7

支持的传感器: Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

CVSS v2

风险因素: Low

基本分数: 3.3

时间分数: 2.6

矢量: CVSS2#AV:L/AC:M/Au:N/C:N/I:P/A:P

CVSS 分数来源: CVE-2022-21658

CVSS v3

风险因素: Medium

基本分数: 6.3

时间分数: 5.7

矢量: CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:rocky:linux:cargo-debuginfo, p-cpe:/a:rocky:linux:rust-std-static, p-cpe:/a:rocky:linux:rust-std-static-wasm32-unknown-unknown, p-cpe:/a:rocky:linux:rust, p-cpe:/a:rocky:linux:rust-analysis, p-cpe:/a:rocky:linux:rustfmt, p-cpe:/a:rocky:linux:rust-doc, p-cpe:/a:rocky:linux:rust-debugsource, p-cpe:/a:rocky:linux:cargo, p-cpe:/a:rocky:linux:rust-debuginfo, p-cpe:/a:rocky:linux:rust-std-static-wasm32-wasi, p-cpe:/a:rocky:linux:rust-debugger-common, p-cpe:/a:rocky:linux:rust-lldb, p-cpe:/a:rocky:linux:rls, p-cpe:/a:rocky:linux:rls-debuginfo, p-cpe:/a:rocky:linux:rust-toolset, p-cpe:/a:rocky:linux:cargo-doc, p-cpe:/a:rocky:linux:rust-gdb, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:rust-src, p-cpe:/a:rocky:linux:clippy-debuginfo, p-cpe:/a:rocky:linux:clippy, p-cpe:/a:rocky:linux:rustfmt-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2022/5/10

漏洞发布日期: 2022/1/20

参考资料信息

CVE: CVE-2022-21658