Rust fikser farlig fejl

1 kommentar.  Hop til debatten
Rust fikser farlig fejl
Illustration: Bigstock/GS23.
Brugere anbefales at opdatere til seneste udgave og builde eksisterende programmer.
Tania Andersen
Tania Andersen
Journalist
27. januar kl. 12:57
errorÆldre end 30 dage
Tania Andersen
Tania Andersen
Journalist
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Holdet bag sproget Rust har udsendt en ny udgave,1.58.1, som indeholder vigtige sikkerhedsrettelser. Det skriver SD Times.

Den forrige version indeholdt en såkaldt race condition, hvor parallel udførsel af en programstump kan føre til fejl.

Fejlen befandt sig i biblioteksfunktionen std::fs::remove_dir_all. Ifølge Rust-udviklerne kunne en angriber udnytte hullet til at narre et privilegeret program til at slette filer og mapper, som angriberen ellers ikke kunne få adgang til eller slette.

Alle versioner fra 1.58.0 og tidligere er berørt af sårbarheden.

Artiklen fortsætter efter annoncen

Rust-udviklerne anbefaler, at brugerne opdaterer til den nye version og derefter builder sine programmer.

1 kommentar.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
Troels Mikkelsen
28. januar kl. 20:28

Her er en detaljeret beskrivelse med link til den pågældende CVE: https://blog.rust-lang.org/2022/01/20/cve-2022-21658.html

Sårbarheden kræver ikke parallel afvikling, men skyldes at den sårbare funktion først checker om en given sti er et symlink, og hvis ikke, så bliver stien slettet (std::fs::remove_dir_all()).

Hvis en given sti mellem tidspunktet for check og tidpunktet for slet ændres fra at være en mappe til et symlink, så opstår sårbarheden.

  • more_vert
    • insert_linkKopier link