vulnerabilitas (CVE-2022-21658) notata est in bibliotheca rubiginis vexillum ob condicionem stadii in functione std ::fs:: remotionis _dir_all(). Si hoc munus in applicatione privilegiata lima temporanea delere adhibetur, oppugnator deletionem consequi potest imaginum rationum arbitrariorum et directoria quae oppugnator ad deletionem normaliter aditus non esset.
Vulnerabilitas causatur per exsequendam falsas nexus symbolicos cohibendi antequam directoria recursively delendo. Instead of ne symlinks sequerentur, remove_dir_all() primum impedit ut videat si fasciculus symlink. Si nexus definitur, tunc ut lima deletum est et si directorium est, tunc operatio content remotionis recursiva appellatur. Problema est parva mora inter repressionem et initium operationis deletae.
Cum perscriptio temporis iam peracta est, sed operatio recensendi directoria pro deletione nondum incepta, oppugnator indicem cum fasciculis temporariis cum ligamine symbolico reponere potest. Si tempore opportuno percusserit, munus remove_dir_all() nexum symbolicum tamquam directorium tractabit et contentum in quo nexus puncta removere incipiunt. Quamvis successus oppugnationis dependeat ex subtilitate temporis electi reponendarum indicem ac ferendi opportunum tempus primum abhorret, per experimenta inquisitores iterabilem felicitatem oppugnationis consequi potuerunt postquam res gestae intus exsequebantur. brevi tempore.
Omnes versiones Rust ab 1.0.0 ad 1.58.0 inclusive sunt affectus. Quaestio de forma commissurae iam fixa est (fixus inclusus erit in 1.58.1 emissione, quae intra paucas horas expectatur). Submoveri vulnerabilitas in distributionibus in his paginis monitor potes: Debian, REL, SUSE, Fedora, Ubuntu, Arch, FreeBSD. Omnes usores de Rust programmata cum privilegiis elevatis accurrentes et functione remove_dir_all utentes admonentur instanter renovare Rust ad versionem 1.58.1. Iucundum est quod commissura dimissa quaestionem in omnibus systematibus non solvit, exempli gratia, in REDOX OS et versiones macOS ante 10.10 (Yosemite), vulnerabilitas non impeditur propter vexillum O_NOFOLLOW propter absentiam, quod sequens symbolicum disables nexus.
Source: opennet.ru