BDU:2022-05167: Уязвимость функции std::fs::remove_dir_all языка программирования Rust, позволяющая нарушителю удалить произвольные системные файлы и каталоги

Описание уязвимости Уязвимость функции std::fs::remove_dir_all языка программирования Rust связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю удалить произвольные системные файлы и каталоги
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», Apple Inc., The Rust Foundation, АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Mac OS, Rust, iOS, iPadOS, tvOS, watchOS, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 34 (Fedora)
  • 11.0 (Debian GNU/Linux)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 9 (Red Hat Enterprise Linux)
  • Monterey до 12.3 (Mac OS)
  • от 1.0.0 до 1.58.0 включительно (Rust)
  • до 15.4 (iOS)
  • до 15.4 (iPadOS)
  • до 15.4 (tvOS)
  • до 8.5 (watchOS)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Одновременное выполнение с использованием общего ресурса с неправильной синхронизацией («Ситуация гонки»)
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 23.01.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Rust:
https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946
https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf
https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21658

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/

Для программных продуктов Apple Inc.:
https://support.apple.com/kb/HT213182
https://support.apple.com/kb/HT213183
https://support.apple.com/kb/HT213186
https://support.apple.com/kb/HT213193

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rustc-mozilla до версии 1.59.0+dfsg1-1~deb10u3.osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование сроками и состоянием
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения