Rust 编程语言曝高危漏洞,可导致文件和目录遭删除
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Rust 编程语言的维护人员发布安全更新,修复了一个高危漏洞 (CVE-2022-21658)。该漏洞可导致恶意人员越权从易受攻击系统删除文件和目录。
Rust 安全响应工作组(WG)在2021年1月20日发布安全公告指出,“攻击者可利用该漏洞诱骗权限程序删除文件和目录。”
受影响版本
Rust 1.0.0 至 Rust 1.58.0 均受该漏洞影响。CVE-2022-21658 的CVSS评分为7.3,由安全研究员 Hans Kratz 发现。上周发布的 Rust 版本1.58.1已修复该漏洞。
该漏洞源自执行不当的检查阻止对标准库函数 "std::fs::remove_dir_all" 字符链接 (symlinks)的递归删除,从而导致竞争条件。攻击者可滥用对权限程序的访问权限删除敏感目录。
Rust 安全公告指出,“该标准库并未告知系统不要跟踪符号链接,而是首先检查将要删除的是否为符号链接,如不是,则递归删除该目录,这就导致条件竞争:攻击者可创建一个目录并以检查和实际删除之间的符号链接取而代之。”
Rust 虽然并非应用广泛的编程语言,但在近年来因其内存相关的安全保障,使用人数也在激增。去年,谷歌宣布其开源的安卓操作系统版本将提供对 Rust 的支持,以阻止内存安全漏洞的发生。
推荐阅读
因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌
PyPI 管理员删除已潜伏10个月且下载量超1万次的恶意包
微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用
导致软件产生漏洞的九大编程语言
原文链接
https://thehackernews.com/2022/01/critical-bugs-in-control-web-panel.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Rust 编程语言曝高危漏洞,可导致文件和目录遭删除相关推荐
- 百度在美国遭集体起诉;iPhone 11 成苹果最畅销机型;OpenSSL 曝高危漏洞 | 极客头条...
整理 | 屠敏 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦 ...
- iPhone11因便宜销量超预期;三星手机曝高危漏洞;xUtils 3.8.3发布 | 极客头条
快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...
- 谷歌VirusTotal开源组件曝高危漏洞,可获取内网访问权限
如漏洞遭利用,可导致攻击者不仅访问受谷歌控制的环境,还可以高权限访问50多个内部主机. 安全研究员在 VirusTotal 平台上发现了一个严重漏洞,可被用于实现远程代码执行 (RCE). 该漏洞已修 ...
- 多个高危漏洞可导致 Chrome 浏览器被黑
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌更新 Chrome Web 浏览器,共修复了8个漏洞,其中4个事高危级别:3个是释放后使用漏洞,可导致攻击者在浏览器内存中生成错误 ...
- 思科精睿系列交换机被曝高危漏洞,仅修复部分产品
聚焦源代码安全,网罗国内外最新资讯! 作者:Lindsey O'Donnell 编译:奇安信代码卫士团队 思科 Systems 警告称,超过六款精睿系列交换机受一个高危漏洞影响,可导致远程未认证攻击 ...
- 卡巴斯基在线杀毒曝高危漏洞 用户可被攻击
2007年10月12日 09:41:00 安全研究员Stephen Fewer近日在卡巴斯基的在线杀毒应用中发现了安全漏洞,该漏洞可导致用户计算机运行恶意代码. 据Fewer称,该漏洞主要存在于&qu ...
- 思科路由器高危漏洞可导致攻击者完全访问小企业网络
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科小企业路由器中存在一个高危漏洞 (CVE-2022-20827),可导致"有耐心和位置适当的攻击者"在受影响设备上实现未 ...
- 多个漏洞可导致施耐德电气继电器遭重启或设备遭接管
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 施耐德电气公司的某些 Easergy 继电器中存在多个漏洞,可导致黑客禁用电网络的防护措施.该公司已发布补丁. Easergy 中压防护继电器中 ...
- Oracle EBS 两个严重漏洞可导致企业金融记录遭篡改
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Oracle 最近修复的两个严重的电子商务套件 (E-Business Suite, EBS) 漏洞可被用于实现多种恶意目的,如篡改某 ...
最新文章
- 瀑布模型(经典的生命周期模型)
- 专线数据维护07/05
- python 中参数 ,解包和变量的入门
- 利用grep命令查找文件内容
- a卡显存测试软件_官方游戏性能堪比RTX 3080 苏姿丰:RX 6000 Big Navi是史上最强A卡...
- 【Python学习笔记】Coursera课程《Python Data Structures》 密歇根大学 Charles Severance——Week6 Tuple课堂笔记...
- linux桥接设置静态,centos6.10 桥接模式下配置静态ip
- windows上使用Git bash详细图文教程
- 语法和c区别_【20200925】Python基本语法
- python全栈开发 * 04 * 180604
- mysql user表空_Mysql User表为空
- 结构与表现分离的思想
- PRML 模式识别与机器学习 1.绪论
- c语言程序有哪几类词汇,c语言是什么 c语言必背词汇有哪些
- matlab实现匹配滤波器实验报告,匹配滤波器的仿真实验报告
- 360浏览器保存网页html5,360浏览器怎么保存整个网页为图片?
- html实现多选框传值,解决Django中checkbox复选框的传值问题
- 手机cpu天梯图2020
- 如何用Python做日历?
- 响应式网页设计与应用