检测

Linux Distros 未修补的漏洞: CVE-2023-40030

medium Nessus 插件 ID 226428

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - Cargo 会下载 Rust 项目的依存关系并编译项目。在 Rust 1.60.0 至 1.72 版中,当 Cargo 将 Cargo 功能名称包含在由“cargo build --timings”生成的报告中时,这些名称不会转义。作为依存关系随附的恶意程序包可能会在此处注入几乎任意的 HTML,如果用户随后在某处上传报告,可能导致跨站脚本问题。此漏洞会影响依赖 git、本地路径或备用注册表的依存关系的用户。
 仅依赖 crates.io 的用户不受影响。Rust 1.60.0 引入了“cargo build --timings”(可生成构建过程的不同步骤所花费时间的报告)。它包含每个 crate 的 Cargo 功能列表。在 Rust 1.72 之前的版本中,Cargo 功能名称可以包含几乎任何字符(功能语法中使用的某些字符除外),但自 1.49 起,Rust 将会产生关于这些字符的未来不兼容警告。crates.io 对于有效功能名称的认定要严格得多,并且不允许使用此类功能名称。由于功能名称以非转义方式包含在时序报告中,因此可用于将 Javascript 注入页面。功能名称可能是以下这样的:“features = [<img src='' onerror=alert(0)]”。如果此报告随后被上传到使用凭据的域,则注入的 Javascript 可访问来自网站访问者的资源。Rust 1.72 通过将未来的不兼容警告转换为错误来修复此问题。
 用户在下载程序包时仍应谨慎行事,仅在其项目中包含受信任的依存关系。请注意,即使这些漏洞已修复,但按照设计,Cargo 凭借构建脚本和程序宏,仍允许在构建时间执行任意代码:尽管存在这些漏洞,恶意的依存关系仍将能够造成破坏。 crates.io 具有防止此攻击的服务器端检查,而且 crates.io 上没有利用这些漏洞的程序包。不过,crates.io 用户在选择依存关系时仍需谨慎,因为此处的设计也允许远程代码执行。 (CVE-2023-40030)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2023-40030

https://ubuntu.com/security/CVE-2023-40030

插件详情

严重性: Medium

ID: 226428

文件名: unpatched_CVE_2023_40030.nasl

版本: 1.2

类型: local

代理: unix

系列: Misc.

发布时间: 2025/3/5

最近更新时间: 2025/8/30

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6

时间分数: 4.4

矢量: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P

CVSS 分数来源: CVE-2023-40030

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:debian:debian_linux:rust-cargo, p-cpe:/a:canonical:ubuntu_linux:cargo, p-cpe:/a:debian:debian_linux:cargo, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:debian:debian_linux:12.0

必需的 KB 项: Host/OS/identifier, Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched

易利用性: No known exploits are available

漏洞发布日期: 2023/8/24

参考资料信息

CVE: CVE-2023-40030