Уязвимость BDU:2022-05167

Дата: 23.01.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-05167.

Наименование уязвимости: Уязвимость функции std::fs::remove_dir_all языка программирования Rust, позволяющая нарушителю удалить произвольные системные файлы и каталоги.

Описание уязвимости: Уязвимость функции std::fs::remove_dir_all языка программирования Rust связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю удалить произвольные системные файлы и каталоги
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10.0 | Операционная система Fedora Project Fedora 34 | Операционная система Debian GNU/Linux 11.0 | Операционная система Fedora Project Fedora 35 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 9 | Операционная система Apple Inc. Mac OS Monterey до 12.3 | Прикладное ПО информационных систем The Rust Foundation Rust от 1.0.0 до 1.58.0 включительно | Операционная система Apple Inc. iOS до 15.4 | Операционная система Apple Inc. iPadOS до 15.4 | Операционная система Apple Inc. tvOS до 15.4 | Операционная система Apple Inc. watchOS до 8.5 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.6 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 8 | Debian GNU/Linux 100 | Fedora 34 | Debian GNU/Linux 110 | Fedora 35 | РЕД ОС 73 | Red Hat Enterprise Linux 9 | Mac OS Monterey до 123 | iOS до 154 | iPadOS до 154 | tvOS до 154 | watchOS до 85 | ОСОН ОСнова Оnyx до 26 |
Дата выявления: 23.01.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для Rust:
https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946
https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf
https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21658

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/

Для программных продуктов Apple Inc.:
https://support.apple.com/kb/HT213182
https://support.apple.com/kb/HT213183
https://support.apple.com/kb/HT213186
https://support.apple.com/kb/HT213193

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rustc-mozilla до версии 1.59.0+dfsg1-1~deb10u3.osnova1.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-21658.

Тип ошибки CWE: CWE-362
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946
https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf
https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/
https://security-tracker.debian.org/tracker/CVE-2022-21658
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/
https://support.apple.com/kb/HT213182
https://support.apple.com/kb/HT213183
https://support.apple.com/kb/HT213186
https://support.apple.com/kb/HT213193
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *