检测

Amazon Linux 2:rust (ALAS-2023-1959)

high Nessus 插件 ID 171828

语言:

简介

远程 Amazon Linux 2 主机缺少安全更新。

描述

远程主机上安装的 rust 版本低于 1.66.1-1。因此,它受到 ALAS2-2023-1959 公告中提及的多个漏洞影响。

 - Cargo 是 rust 编程语言的程序包管理器。下载程序包后,Cargo 会在磁盘上的 ~/.cargo 文件夹中提取其源代码,以供其构建的 Rust 项目使用。为了记录提取成功的时间,Cargo 在提取所有文件后,会向所提取源代码根处的 .cargo-ok 文件写入 ok。据发现,Cargo 允许程序包包含 Cargo 会提取的 .cargo-ok 符号链接。然后,当 Cargo 尝试将 ok 写入 .cargo-ok 时,它实际上会将符号链接指向的文件的前两个字节替换为 ok。
 这将允许攻击者损坏使用 Cargo 的计算机上的一个文件以提取程序包。请注意,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行代码。此公告中的漏洞允许以更难追踪的方式执行部分潜在破坏。如果您想要免受攻击,则必须仍然信任您的依存关系,因为可以使用构建脚本和程序宏执行相同的攻击。所有 Cargo 版本中均存在此漏洞。9 月 22 日发布的 Rust 1.64 将包含一个补丁。
 由于该漏洞只是实现恶意构建脚本或程序宏功能的更有限方式,因此我们决定不发布向后移植此安全补丁的 Rust 点版本。
 Rust 1.63.0 的修补程序文件现已推出,可在 wg-security-response 存储库中用于构建自己的工具链。缓解措施 我们建议备用注册表用户在下载程序包时谨慎行事,仅在其项目中包含受信任的依存关系。请注意,即使修复了这些漏洞,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行任意代码:无论这些漏洞如何,恶意依存关系都将造成破坏。 crates.io 多年前实施了服务器端检查以拒绝此类程序包,crates.io 上不存在利用这些漏洞的程序包。不过,crates.io 用户在选择依存关系时仍需谨慎,因为那里的设计也允许远程代码执行。(CVE-2022-36113)

 - Cargo 是 rust 编程语言的程序包管理器。据发现,Cargo 未限制从压缩存档中提取的数据量。攻击者可将提取的数据量超过其大小的特制程序包(也称为 zip 炸弹)上传到备用注册表,从而使用 Cargo 下载程序包以耗尽计算机上的磁盘空间。请注意,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行代码。此公告中的漏洞允许以更难追踪的方式执行部分潜在破坏。如果您想要免受攻击,则必须仍然信任您的依存关系,因为可以使用构建脚本和程序宏执行相同的攻击。所有 Cargo 版本中均存在此漏洞。9 月 22 日发布的 Rust 1.64 将包含一个补丁。由于该漏洞只是实现恶意构建脚本或程序宏功能的更有限方式,因此我们决定不发布向后移植此安全补丁的 Rust 点版本。Rust 1.63.0 的修补程序文件现已推出,可在 wg-security-response 存储库中用于构建自己的工具链。
 我们建议备用注册表用户在下载程序包时谨慎行事,仅在其项目中包含受信任的依存关系。请注意,即使修复了这些漏洞,由于构建脚本和程序宏,Cargo 按照设计允许在构建时执行任意代码:无论这些漏洞如何,恶意依存关系都将造成破坏。 crates.io 多年前实施了服务器端检查以拒绝此类程序包,crates.io 上不存在利用这些漏洞的程序包。不过,crates.io 用户在选择依存关系时仍需谨慎,因为其所面临的问题与构建脚本和程序宏面临的一样。
 (CVE-2022-36114)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行 'yum update rust' 以更新系统。

另见

https://alas.aws.amazon.com/AL2/ALAS-2023-1959.html

https://alas.aws.amazon.com/../../faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36113.html

https://alas.aws.amazon.com/cve/html/CVE-2022-36114.html

插件详情

严重性: High

ID: 171828

文件名: al2_ALAS-2023-1959.nasl

版本: 1.0

类型: local

代理: unix

发布时间: 2023/2/23

最近更新时间: 2023/2/23

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:C

CVSS 分数来源: CVE-2022-36113

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:cargo, p-cpe:/a:amazon:linux:clippy, p-cpe:/a:amazon:linux:rust, p-cpe:/a:amazon:linux:rust-analysis, p-cpe:/a:amazon:linux:rust-analyzer, p-cpe:/a:amazon:linux:rust-debugger-common, p-cpe:/a:amazon:linux:rust-debuginfo, p-cpe:/a:amazon:linux:rust-doc, p-cpe:/a:amazon:linux:rust-gdb, p-cpe:/a:amazon:linux:rust-src, p-cpe:/a:amazon:linux:rust-std-static, p-cpe:/a:amazon:linux:rustfmt, cpe:/o:amazon:linux:2

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2023/2/17

漏洞发布日期: 2022/9/14

参考资料信息

CVE: CVE-2022-36113, CVE-2022-36114