ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > රස්ට් සම්මත පුස්තකාලයේ ඇති අවදානම

රස්ට් සම්මත පුස්තකාලයේ ඇති අවදානම

std::fs::remove_dir_all() ශ්‍රිතයේ ධාවන තත්වයක් හේතුවෙන් රස්ට් සම්මත පුස්තකාලයේ අවදානමක් (CVE-2022-21658) හඳුනාගෙන ඇත. වරප්‍රසාදිත යෙදුමක තාවකාලික ගොනු මැකීමට මෙම ශ්‍රිතය භාවිතා කරන්නේ නම්, ප්‍රහාරකයෙකුට සාමාන්‍යයෙන් ප්‍රහාරකයාට මකා දැමීමට ප්‍රවේශය නොමැති අත්තනෝමතික පද්ධති ගොනු සහ නාමාවලි මකාදැමීමට හැකිය.

ප්‍රත්‍යාවර්තීව නාමාවලි මකා දැමීමට පෙර සංකේතාත්මක සබැඳි පරීක්ෂා කිරීම වැරදි ලෙස ක්‍රියාත්මක කිරීම නිසා අවදානම ඇති වේ. symlinks අනුගමනය කිරීම වැළැක්වීම වෙනුවට, remove_dir_all() පළමුව ගොනුව symlink එකක් දැයි පරීක්ෂා කරයි. සබැඳියක් අර්ථ දක්වා තිබේ නම්, එය ගොනුවක් ලෙස මකා දමනු ලැබේ, එය නාමාවලියක් නම්, පුනරාවර්තන අන්තර්ගත ඉවත් කිරීමේ මෙහෙයුමක් ලෙස හැඳින්වේ. ගැටළුව වන්නේ චෙක්පත සහ මකාදැමීමේ මෙහෙයුමේ ආරම්භය අතර සුළු ප්රමාදයක් ඇති වීමයි.

චෙක්පත දැනටමත් සිදු කර ඇති නමුත් මකාදැමීම සඳහා නාමාවලි ගණනය කිරීමේ ක්‍රියාකාරිත්වය තවමත් ආරම්භ වී නොමැති අවස්ථාවක, ප්‍රහාරකයාට නාමාවලිය සංකේතාත්මක සබැඳියක් සහිත තාවකාලික ගොනු සමඟ ප්‍රතිස්ථාපනය කළ හැකිය. එය නියම වේලාවට පහර දෙන්නේ නම්, remove_dir_all() ශ්‍රිතය සංකේතාත්මක සබැඳිය නාමාවලියක් ලෙස සලකන අතර සබැඳිය යොමු කරන අන්තර්ගතය ඉවත් කිරීමට පටන් ගනී. ප්‍රහාරයේ සාර්ථකත්වය රඳා පවතින්නේ නාමාවලිය ප්‍රතිස්ථාපනය කිරීමේ තෝරාගත් වේලාවේ නිරවද්‍යතාවය මත සහ පළමු වරට නියම මොහොතට පහර දීම කළ නොහැක්කකි, නමුත් අත්හදා බැලීම් වලදී පර්යේෂකයන්ට සූරාකෑම ක්‍රියාත්මක කිරීමෙන් පසු නැවත නැවතත් සාර්ථක ප්‍රහාරයක් ලබා ගැනීමට හැකි විය. තත්පර කිහිපයක්.

1.0.0 සිට 1.58.0 දක්වා Rust හි සියලුම අනුවාද ඇතුළත්ව බලපායි. මෙම ගැටළුව දැනට පැච් ආකාරයෙන් විසඳා ඇත (මෙය නිවැරදි කිරීම 1.58.1 නිකුතුවේ ඇතුළත් වේ, එය පැය කිහිපයක් ඇතුළත අපේක්ෂා කෙරේ). ඔබට මෙම පිටුවල බෙදාහැරීම් වල ඇති අවදානම ඉවත් කිරීම නිරීක්ෂණය කළ හැක: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch, FreeBSD. උසස් වරප්‍රසාද සහිතව ධාවනය වන Rust වැඩසටහන් භාවිතා කරන්නන් සහ remove_dir_all ශ්‍රිතය භාවිතා කරන්නන් 1.58.1 අනුවාදයට Rust ඉක්මනින් යාවත්කාලීන කරන ලෙස උපදෙස් දෙනු ලැබේ. නිකුත් කරන ලද පැච් සියලුම පද්ධතිවල ගැටළුව විසඳන්නේ නැති බව සිත්ගන්නා කරුණකි; උදාහරණයක් ලෙස, 10.10 (Yosemite) ට පෙර REDOX OS සහ macOS අනුවාද වල, O_NOFOLLOW ධජය නොමැති වීම හේතුවෙන් අවදානම අවහිර නොවේ, එය සංකේතාත්මක පහත සඳහන් අක්‍රීය කරයි. සබැඳි.

මූලාශ්රය: opennet.ru

අදහස් එක් කරන්න