严重的编程错误可能导致文件、目录删除
相关标签: # 漏洞# 研究# 攻击# 安全漏洞
#Rust编程语言的维护者发布了一个针对高严重性漏洞的安全更新,恶意方可能会滥用该漏洞,以未经授权的方式清除易受攻击系统中的文件和目录
“攻击者可以使用这个安全问题来诱骗特权程序删除攻击者无法访问或删除的文件和目录,”锈蚀安全响应工作组(WG)在2021年1月20日发布的一份咨询报告中说。Rust 1.0.0到Rust 1.58.0受此漏洞影响。该漏洞被追踪为CVE-2022-21658(CVSS分数:7.3),被认为是安全研究人员Hans Kratz的功劳,该团队在上周发布的Rust版本1.58.1中推出了修复方案
#具体来说,问题源于一个不正确执行的检查,以防止在名为“std::fs::remove_dir_all”的标准库函数中递归删除符号链接(也称为符号链接)这导致了一种竞争条件,反过来,对手可以通过滥用对特权程序的访问来删除敏感目录,从而可靠地利用这种竞争条件
#“标准库没有告诉系统不要遵循符号链接,而是首先检查它要删除的东西是否是符号链接,否则它将继续递归删除目录,”该公告说。“这暴露了一种竞争条件:攻击者可以创建一个目录,并用检查和实际删除之间的符号链接替换它。”
Rust虽然不是一种广泛使用的编程语言,但近年来由于其与内存相关的安全保证,它的使用率激增。去年,谷歌宣布其开源版本的Android操作系统将增加对编程语言的支持,以防止内存安全漏洞
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
