Linux Distros 未修补的漏洞:CVE-2022-36113
high Nessus 插件 ID 224865
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Cargo 是 rust 编程语言的程序包管理器。下载程序包后,Cargo 会在磁盘上的 ~/.cargo 文件夹中提取其源代码,以供其构建的 Rust 项目使用。为了记录提取成功的时间,Cargo 在提取所有文件后,会向所提取源代码根处的 .cargo-ok 文件写入 ok。据发现,Cargo 允许程序包包含 Cargo 会提取的 .cargo-ok 符号链接。然后,当 Cargo 尝试将 ok 写入 .cargo-ok 时,它实际上会将符号链接指向的文件的前两个字节替换为 ok。
这将允许攻击者损坏使用 Cargo 的计算机上的一个文件以提取程序包。请注意,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行代码。此公告中的漏洞允许以更难追踪的方式执行部分潜在破坏。如果您想要免受攻击,则必须仍然信任您的依存关系,因为可以使用构建脚本和程序宏执行相同的攻击。所有 Cargo 版本中均存在此漏洞。9 月 22 日发布的 Rust 1.64 将包含一个补丁。
由于该漏洞只是实现恶意构建脚本或程序宏功能的更有限方式,因此我们决定不发布向后移植此安全补丁的 Rust 点版本。
Rust 1.63.0 的修补程序文件现已推出,可在 wg-security-response 存储库中用于构建自己的工具链。缓解措施 我们建议备用注册表用户在下载程序包时谨慎行事,仅在其项目中包含受信任的依存关系。请注意即使修复了这些漏洞根据设计Cargo 仍然允许在构建时执行任意代码这要感谢构建脚本和程序宏恶意依存关系将能够造成损坏尽管有这些漏洞。 crates.io 多年以前就实施了服务器端检查以拒绝此类程序包而且 crates.io 上没有利用这些漏洞的程序包。但 crates.io 用户在选择其依存关系时仍需谨慎,因为设计上也允许远程代码执行。 (CVE-2022-36113)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 224865
文件名: unpatched_CVE_2022_36113.nasl
版本: 1.2
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/30
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2022-36113
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.1
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:debian:debian_linux:rust-cargo, p-cpe:/a:canonical:ubuntu_linux:cargo, p-cpe:/a:debian:debian_linux:cargo
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2022/9/14
参考资料信息
CVE: CVE-2022-36113