ГлавнаяБаза уязвимостей БДУ → BDU:2022-05167
10критическая

BDU:2022-05167 (CVE-2022-21658)

Уязвимость функции std::fs::remove_dir_all языка программирования Rust, позволяющая нарушителю удалить произвольные системные файлы и каталоги
Опубликовано: 2022-08-19
Описание

Уязвимость функции std::fs::remove_dir_all языка программирования Rust связана с ошибками синхронизации при использовании общего ресурса («Ситуация гонки»). Эксплуатация уязвимости может позволить нарушителю удалить произвольные системные файлы и каталоги

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Fedora (34)Debian GNU/Linux (11)Fedora (35)РЕД ОС (7.3)Red Hat Enterprise Linux (9)MacOS (до 12.3)Rust (от 1.0.0 до 1.58.0 включительно)iOS (до 15.4)iPadOS (до 15.4)tvOS (до 15.4)watchOS (до 8.5)ОСОН ОСнова Оnyx (до 2.6)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Rust:
https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946
https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abaf
https://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-21658

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C63NH72Q7UHJM5V3IVYRI7LVBGGFQMSQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/CKGTACKMKAPRDPWPTU26GYWBELIRFF5N/

Для программных продуктов Apple Inc.:
https://support.apple.com/kb/HT213182
https://support.apple.com/kb/HT213183
https://support.apple.com/kb/HT213186
https://support.apple.com/kb/HT213193

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rustc-mozilla до версии 1.59.0+dfsg1-1~deb10u3.osnova1

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения rustc до версии 1.70.0+dfsg1-1osnova1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/rust-lang/rust/pull/93110/commits/32ed6e599bb4722efefd78bbc9cd7ec4613cb946https://github.com/rust-lang/rust/pull/93110/commits/406cc071d6cfdfdb678bf3d83d766851de95abafhttps://github.com/rust-lang/rust/pull/93110/commits/4f0ad1c92ca08da6e8dc17838070975762f59714http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-v-standartnoy-biblioteke-yazyka-rust-cve-2022-21658/https://security-tracker.debian.org/tracker/CVE-2022-21658https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7JKZDTBMGAWIFJSNWKBMPO5EAKRR4BEW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BK32QZLHDC2OVLPKTUHNT2G3VHWHD4LX/
Проверьте безопасность своего сайта и почты → Полная проверка домена