Linux Distros 未修补的漏洞:CVE-2022-36114
medium Nessus 插件 ID 224855
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Cargo 是 rust 编程语言的程序包管理器。据发现,Cargo 未限制从压缩存档中提取的数据量。攻击者可将提取的数据量超过其大小的特制程序包(也称为 zip 炸弹)上传到备用注册表,从而使用 Cargo 下载程序包以耗尽计算机上的磁盘空间。请注意,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行代码。此公告中的漏洞允许以更难追踪的方式执行部分潜在破坏。如果您想要免受攻击,则必须仍然信任您的依存关系,因为可以使用构建脚本和程序宏执行相同的攻击。所有 Cargo 版本中均存在此漏洞。9 月 22 日发布的 Rust 1.64 将包含一个补丁。由于该漏洞只是实现恶意构建脚本或程序宏功能的更有限方式,因此我们决定不发布向后移植此安全补丁的 Rust 点版本。Rust 1.63.0 的修补程序文件现已推出,可在 wg-security-response 存储库中用于构建自己的工具链。
我们建议备用注册表用户在下载程序包时谨慎行事,仅在其项目中包含受信任的依存关系。请注意即使修复了这些漏洞根据设计Cargo 仍然允许在构建时执行任意代码这要感谢构建脚本和程序宏恶意依存关系将能够造成损坏尽管有这些漏洞。 crates.io 多年以前就实施了服务器端检查以拒绝此类程序包而且 crates.io 上没有利用这些漏洞的程序包。但 crates.io 用户在选择依存关系时仍需小心谨慎因为与构建脚本和程序宏有关的注意事项同样适用于此处。
(CVE-2022-36114)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: Medium
ID: 224855
文件名: unpatched_CVE_2022_36114.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/27
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5.1
时间分数: 3.8
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-36114
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:rust-cargo, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:cargo, p-cpe:/a:debian:debian_linux:cargo
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2022/9/14
参考资料信息
CVE: CVE-2022-36114