检测

Amazon Linux 2023:cargo、clippy、rust (ALAS2023-2024-497)

medium Nessus 插件 ID 189320

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该应用程序受到 ALAS2023-2024-497 公告中提及的漏洞影响。

 - Cargo 会下载 Rust 项目的依存关系并编译项目。在 Rust 1.60.0 至 1.72 版中,当 Cargo 将 Cargo 功能名称包含在由“cargo build --timings”生成的报告中时,这些名称不会转义。作为依存关系随附的恶意程序包可能会在此处注入几乎任意的 HTML,如果用户随后在某处上传报告,可能导致跨站脚本问题。此漏洞会影响依赖 git、本地路径或备用注册表的依存关系的用户。
 仅依赖 crates.io 的用户不受影响。Rust 1.60.0 引入了“cargo build --timings”(可生成构建过程的不同步骤所花费时间的报告)。它包含每个 crate 的 Cargo 功能列表。在 Rust 1.72 之前的版本中,Cargo 功能名称可以包含几乎任何字符(功能语法中使用的某些字符除外),但自 1.49 起,Rust 将会产生关于这些字符的未来不兼容警告。crates.io 对于有效功能名称的认定要严格得多,并且不允许使用此类功能名称。由于功能名称以非转义方式包含在时序报告中,因此可用于将 Javascript 注入页面。功能名称可能是以下这样的:“features = [<img src='' onerror=alert(0)]”。如果此报告随后被上传到使用凭据的域,则注入的 Javascript 可访问来自网站访问者的资源。Rust 1.72 通过将未来的不兼容警告转换为错误来修复此问题。
 用户在下载程序包时仍应谨慎行事,仅在其项目中包含受信任的依存关系。请注意,即使修复了这些漏洞,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行任意代码:无论这些漏洞如何,恶意依存关系都将造成破坏。crates.io 的服务器端检查可防止此攻击,且 crates.io 上不存在利用这些漏洞的程序包。不过,crates.io 用户在选择依存关系时仍需谨慎,因为那里的设计也允许远程代码执行。(CVE-2023-40030)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update rust --releasever 2023.3.20240122”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2024-497.html

https://alas.aws.amazon.com/cve/html/CVE-2023-40030.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: Medium

ID: 189320

文件名: al2023_ALAS2023-2024-497.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/1/23

最近更新时间: 2024/12/11

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2023-40030

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:rustfmt-debuginfo, p-cpe:/a:amazon:linux:cargo, p-cpe:/a:amazon:linux:rust, p-cpe:/a:amazon:linux:rust-lldb, p-cpe:/a:amazon:linux:rust-debuginfo, p-cpe:/a:amazon:linux:rust-analyzer-debuginfo, p-cpe:/a:amazon:linux:rust-debugsource, p-cpe:/a:amazon:linux:rust-debugger-common, p-cpe:/a:amazon:linux:rustfmt, p-cpe:/a:amazon:linux:clippy-debuginfo, p-cpe:/a:amazon:linux:rust-analyzer, p-cpe:/a:amazon:linux:rust-std-static-wasm32-unknown-unknown, p-cpe:/a:amazon:linux:rust-src, p-cpe:/a:amazon:linux:rust-std-static-wasm32-wasi, p-cpe:/a:amazon:linux:cargo-debuginfo, p-cpe:/a:amazon:linux:rust-gdb, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:rust-doc, p-cpe:/a:amazon:linux:rust-std-static, p-cpe:/a:amazon:linux:rust-analysis, p-cpe:/a:amazon:linux:clippy

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/1/19

漏洞发布日期: 2023/8/24

参考资料信息

CVE: CVE-2023-40030