Linux Distros 未修补的漏洞: CVE-2022-36114
medium Nessus 插件 ID 224855
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Cargo 是 rust 编程语言的程序包管理器。据发现,Cargo 未限制从压缩存档中提取的数据量。攻击者可将提取的数据量超过其大小的特制程序包(也称为 zip 炸弹)上传到备用注册表,从而使用 Cargo 下载程序包以耗尽计算机上的磁盘空间。请注意,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行代码。此公告中的漏洞允许以更难追踪的方式执行部分潜在破坏。如果您想要免受攻击,则必须仍然信任您的依存关系,因为可以使用构建脚本和程序宏执行相同的攻击。所有 Cargo 版本中均存在此漏洞。9 月 22 日发布的 Rust 1.64 将包含一个补丁。由于该漏洞只是实现恶意构建脚本或程序宏功能的更有限方式,因此我们决定不发布向后移植此安全补丁的 Rust 点版本。Rust 1.63.0 的修补程序文件现已推出,可在 wg-security-response 存储库中用于构建自己的工具链。
我们建议备用注册表用户在下载程序包时谨慎行事,仅在其项目中包含受信任的依存关系。请注意,即使这些漏洞已修复,但按照设计,Cargo 凭借构建脚本和程序宏,仍允许在构建时间执行任意代码:尽管存在这些漏洞,恶意的依存关系仍将能够造成破坏。 crates.io 多前就实现了服务器端检查以拒绝这些类型的程序包,而 crates.io 上没有任何程序包在利用这些漏洞。不过,crates.io 用户在选择依存关系时仍需谨慎,因为构建脚本和程序宏的相同问题在此处适用。
(CVE-2022-36114)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。插件详情
严重性: Medium
ID: 224855
文件名: unpatched_CVE_2022_36114.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/3/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2022-36114
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched
易利用性: No known exploits are available
漏洞发布日期: 2022/9/14
参考资料信息
CVE: CVE-2022-36114