Achọpụtala adịghị ike (CVE-2022-21658) n'ọbá akwụkwọ ọkọlọtọ Rust n'ihi ọnọdụ agbụrụ na ọrụ std :: fs:: remove_dir_all(). Ọ bụrụ na a na-eji ọrụ a ihichapụ faịlụ nwa oge na ngwa nwere ihe ùgwù, onye na-awakpo nwere ike nweta ihichapụ faịlụ na akwụkwọ ndekọ aha aka ike nke onye na-awakpo ahụ agaghị enwekarị ohere ihichapụ.
A na-ebute adịghị ike ahụ site na mmejuputa iwu na-ezighi ezi nke ịlele njikọ ihe atụ tupu ihichapụ akwụkwọ ndekọ aha ugboro ugboro. Kama igbochi symlinks iso, remove_dir_all() buru ụzọ lelee ma faịlụ ahụ ọ bụ akara ngosi. Ọ bụrụ na akọwapụtara njikọ, mgbe ahụ, a na-ehichapụ ya dị ka faịlụ, ma ọ bụrụ na ọ bụ ndekọ, mgbe ahụ, a na-akpọ ọrụ iwepụ ọdịnaya recursive. Nsogbu a bụ na enwere ntakịrị igbu oge n'etiti nlele na mmalite nke ọrụ ihichapụ.
N'oge a na-emebu nlele nlele ahụ, mana ọrụ nke na-edepụta akwụkwọ ndekọ aha maka nhichapụ amalitebeghị, onye na-awakpo ahụ nwere ike dochie ndekọ ahụ na faịlụ nwa oge na njikọ ihe atụ. Ọ bụrụ na ọ dabara n'oge kwesịrị ekwesị, ọrụ remove_dir_all() ga-emeso njikọ ihe atụ dị ka ndekọ wee malite iwepụ ọdịnaya nke njikọ ahụ na-atụ aka. N'agbanyeghị eziokwu na ihe ịga nke ọma nke ọgụ na-adabere na izi ezi nke ahọrọ oge nke dochie ndekọ na ọkụkụ nri oge nke mbụ bụ eleghi anya, n'oge nnwale ndị na-eme nnyocha na-enwe ike nweta a repeatable ịga nke ọma ọgụ mgbe eme ihe n'ime. sekọnd ole na ole.
Ụdị nchara niile sitere na 1.0.0 ruo 1.58.0 gụnyere na-emetụta. E doziela okwu a n'ụdị patch ugbu a (a ga-etinye ndozi ahụ na ntọhapụ 1.58.1, nke a na-atụ anya n'ime awa ole na ole). Ị nwere ike nyochaa mkpochapụ nke adịghị ike na nkesa na ibe ndị a: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch, FreeBSD. Ndị ọrụ niile nke mmemme Rust na-arụ ọrụ dị elu yana iji ọrụ remove_dir_all ka ha melite Rust ngwa ngwa na ụdị 1.58.1. Ọ bụ ihe na-adọrọ mmasị na patch a tọhapụrụ anaghị edozi nsogbu ahụ na sistemụ niile; dịka ọmụmaatụ, na REDOX OS na ụdị macOS tupu 10.10 (Yosemite), adịghị egbochi ihe ọghọm ahụ n'ihi enweghị ọkọlọtọ O_NOFOLLOW, nke na-egbochi ịgbaso ihe atụ. njikọ.
isi: opennet.ru