Nuglaanta (CVE-2022-21658) ayaa lagu aqoonsaday maktabadda caadiga ah ee Rust sababtoo ah xaalad jinsiyadeed ee std :: fs :: remove_dir_all () shaqada. Haddii shaqadan loo isticmaalo in lagu tirtiro faylalka ku meel gaadhka ah ee codsiga mudnaanta leh, weeraryahanku waxa uu gaadhi karaa in la tirtiro faylalka nidaamka macmalka ah iyo hagayaasha oo aanu weerarku caadi ahaan heli karin inuu tirtiro.
Nuglaanta waxaa sababa dhaqan gelinta khaldan ee hubinta isku xirka astaanta ka hor inta aan si isdaba joog ah loo tirtirin hagayaasha. Halkii laga ilaalin lahaa calaamadaha calaamadaha in la raaco, remove_dir_all() marka hore waxay hubisaa in faylka uu yahay calaamad. Haddii isku xirka la qeexo, markaas waa la tirtiraa sida fayl ahaan, iyo haddii ay tahay hage-tusaha, markaa hawlgalka saarista nuxurka soo noqnoqda ayaa loo yaqaan. Dhibaatadu waxay tahay in uu jiro dib u dhac yar oo u dhexeeya hubinta iyo bilawga hawlgalka tirtirka.
Waqtiga jeegga mar hore la fuliyay, laakiin hawlgalka tirinta tusaha tirtirka weli ma bilaaban, weeraryahanku wuxuu bedeli karaa tusaha faylal ku meel gaar ah oo leh xiriir calaamad ah. Haddii ay ku dhufato wakhtiga saxda ah, shaqada remove_dir_all() waxay ula dhaqmi doontaa isku xidhka astaanta u ah hage oo waxay bilaabi doontaa inay ka saarto nuxurka xidhiidhku tilmaamayo. In kasta oo xaqiiqda ah in guusha weerarku ay ku xiran tahay saxnaanta waqtiga la doortay ee beddelka tusaha iyo garaacista waqtiga saxda ah marka ugu horeysa waa lagama yaabo, inta lagu jiro tijaabooyinka cilmi-baarayaashu waxay awoodeen in ay gaaraan weerar guulo soo noqnoqda ka dib markii ay fuliyeen ka faa'iidaysiga gudaha. dhowr ilbiriqsi.
Dhammaan noocyada miridhku ka bilaabma 1.0.0 ilaa 1.58.0 ka mid ah waa la saameeyey. Arrinka waxaa lagu xalliyay qaab balastar hadda ah ( hagaajinta waxaa lagu dari doonaa sii deynta 1.58.1, kaas oo la filayo dhowr saacadood gudahood). Waxaad la socon kartaa ciribtirka nuglaanta qaybinta boggagan: Debian, RHEL, SUSE, Fedora, Ubuntu, Arch, FreeBSD. Dhammaan isticmaalayaasha barnaamijyada Rust ee ku shaqeeya mudnaanta sare oo isticmaalaya remove_dir_all function waxaa lagula talinayaa inay si degdeg ah u cusbooneysiiyaan Rust nooca 1.58.1. Waxaa xiiso leh in balastar la sii daayay uusan xallin dhibaatada dhammaan nidaamyada; tusaale ahaan, REDOX OS iyo noocyada macOS ka hor 10.10 (Yosemite), nuglaanta lama xannibo sababtoo ah maqnaanshaha calanka O_NOFOLLOW, kaas oo curyaamiya soo socda calaamad. links
Source: opennet.ru