Misy vulnerability (CVE-2022-21658) hita ao amin'ny tranomboky mahazatra Rust noho ny toe-javatra hazakazaka ao amin'ny std::fs::remove_dir_all() asa. Raha ampiasaina hamafa rakitra vonjimaika amin'ny rindranasa manana tombontsoa io fiasa io, ny mpanafika dia afaka manatontosa ny famafana ny fisie sy ny lahatahiry rafitra tsy ara-dalΓ na izay tsy azon'ny mpanafika ho voafafa.
Ny vulnerability dia vokatry ny fampiharana diso amin'ny fanamarinana rohy an'ohatra alohan'ny famafana ny lahatahiry. Raha tokony hanakana ny symlink tsy harahina, remove_dir_all() dia manamarina aloha raha symlink ilay rakitra. Raha voafaritra ny rohy iray, dia voafafa ho toy ny rakitra izany, ary raha lahatahiry izany dia antsoina hoe hetsika fanesorana votoaty miverimberina. Ny olana dia misy fahatarana kely eo anelanelan'ny fanamarinana sy ny fanombohan'ny asa famafana.
Amin'ny fotoana izay efa natao ny fisavana, fa tsy mbola nanomboka ny asa fanisana lahatahiry ho famafana, ny mpanafika dia afaka manolo ny lahatahiry amin'ny rakitra vonjimaika miaraka amin'ny rohy an'ohatra. Raha mamely amin'ny fotoana mety izy, ny asa remove_dir_all() dia hitondra ny rohy an'ohatra ho toy ny lahatahiry ary manomboka manala ny atiny izay manondro ny rohy. Na dia eo aza ny zava-misy fa ny fahombiazan'ny fanafihana dia miankina amin'ny fahamarinan'ny fotoana voafantina hanoloana ny lahatahiry sy ny namely ny fotoana mety amin'ny fotoana voalohany dia tsy azo inoana, nandritra ny andrana ny mpikaroka dia afaka nahatratra fanafihana mahomby miverimberina taorian'ny fanatanterahana ny fanararaotana ao anatiny. segondra vitsy.
Ny dikan-teny Rust rehetra manomboka amin'ny 1.0.0 ka hatramin'ny 1.58.0 dia misy fiantraikany. Ny olana dia voavaha amin'ny endrika patch amin'izao fotoana izao (ny fanamboarana dia ho tafiditra ao amin'ny famoahana 1.58.1, izay andrasana ao anatin'ny ora vitsivitsy). Azonao atao ny manara-maso ny fanafoanana ny vulnerability amin'ny fizarana amin'ireto pejy ireto: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch, FreeBSD. Ny mpampiasa rehetra amin'ny programa Rust mandeha manana tombontsoa ambony ary mampiasa ny fiasa remove_dir_all dia asaina manavao haingana ny Rust amin'ny version 1.58.1. Mahaliana fa ny patch navoaka dia tsy mamaha ny olana amin'ny rafitra rehetra; ohatra, ao amin'ny REDOX OS sy ny dikan-tsarimihetsika macOS alohan'ny 10.10 (Yosemite), ny vulnerability dia tsy voasakana noho ny tsy fisian'ny saina O_NOFOLLOW, izay manakana ny fanarahana an'ohatra. rohy.
Source: opennet.ru