БДУ - Уязвимости

BDU:2022-05167: Уязвимость функции std::fs::remove_dir_all языка программирования Rust, позволяющая нарушителю удалить произвольные системные файлы и каталоги

Описание уязвимости	Уязвимость функции std::fs::remove_dir_all языка программирования Rust связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю удалить произвольные системные файлы и каталоги
Вендор	Red Hat Inc., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», Apple Inc., The Rust Foundation, АО "НППКТ"
Наименование ПО	Red Hat Enterprise Linux, Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Mac OS, Rust, iOS, iPadOS, tvOS, watchOS, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8 (Red Hat Enterprise Linux) 10.0 (Debian GNU/Linux) 34 (Fedora) 11.0 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 9 (Red Hat Enterprise Linux) Monterey до 12.3 (Mac OS) от 1.0.0 до 1.58.0 включительно (Rust) до 15.4 (iOS) до 15.4 (iPadOS) до 15.4 (tvOS) до 8.5 (watchOS) до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11.0 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) Red Hat Inc. Red Hat Enterprise Linux 9 Apple Inc. Mac OS Monterey до 12.3 Apple Inc. iOS до 15.4 Apple Inc. iPadOS до 15.4 Apple Inc. tvOS до 15.4 Apple Inc. watchOS до 8.5 АО "НППКТ" ОСОН ОСнова Оnyx до 2.6 (запись в едином реестре российских программ №5913)
Тип ошибки	Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки	CWE-362
Класс уязвимости	Уязвимость кода
Дата выявления	23.01.2022
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Rust: https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946 https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/ Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2022-21658 Для Fedora: https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/ Для программных продуктов Apple Inc.: https://support.apple.com/kb/HT213182 https://support.apple.com/kb/HT213183 https://support.apple.com/kb/HT213186 https://support.apple.com/kb/HT213193 Для ОСОН ОСнова Оnyx: Обновление программного обеспечения rustc-mozilla до версии 1.59.0+dfsg1-1~deb10u3.osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946 https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714 http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/ https://security-tracker.debian.org/tracker/CVE-2022-21658 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/ https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/ https://support.apple.com/kb/HT213182 https://support.apple.com/kb/HT213183 https://support.apple.com/kb/HT213186 https://support.apple.com/kb/HT213193 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-21658
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05167: Уязвимость функции std::fs::remove_dir_all языка программирования Rust, позволяющая нарушителю удалить произвольные системные файлы и каталоги