Bug Pemrograman Karat Tingkat Tinggi Dapat Menyebabkan Penghapusan File, Direktori

  • Whatsapp
Bug Pemrograman Karat Tingkat Tinggi Dapat Menyebabkan Penghapusan File, Direktori
Bug Pemrograman Karat Tingkat Tinggi Dapat Menyebabkan Penghapusan File Direktori

News.nextcloud.asia –

Pengelola bahasa pemrograman Rust telah merilis pembaruan keamanan untuk kerentanan tingkat tinggi yang dapat disalahgunakan oleh pihak jahat untuk membersihkan file dan direktori dari sistem yang rentan dengan cara yang tidak sah.

“Seorang penyerang dapat menggunakan masalah keamanan ini untuk mengelabui program istimewa agar menghapus file dan direktori yang tidak dapat diakses atau dihapus oleh penyerang,” kelompok kerja Rust Security Response (WG) dikatakan dalam sebuah nasehat diterbitkan pada 20 Januari 2021.

Pencadangan GitHub Otomatis

Rust 1.0.0 hingga Rust 1.58.0 dipengaruhi oleh kerentanan ini. Cacatnya, yang dilacak sebagai CVE-2022-21658 (Skor CVSS: 7.3), telah dikreditkan ke peneliti keamanan Hans Kratz, dengan tim mendorong perbaikan di Versi karat 1.58.1 dikirim minggu lalu.

Secara khusus, masalah ini berasal dari pemeriksaan yang tidak diterapkan dengan benar untuk mencegah penghapusan tautan simbolik secara rekursif (alias symlink) dalam fungsi perpustakaan standar bernama “std::fs::remove_dir_all.” Ini menghasilkan kondisi balapan, yang, pada gilirannya, dapat dieksploitasi secara andal oleh musuh dengan menyalahgunakan akses mereka ke program istimewa untuk menghapus direktori sensitif.

Mencegah Pelanggaran Data

“Alih-alih memberi tahu sistem untuk tidak mengikuti symlink, perpustakaan standar terlebih dahulu memeriksa apakah hal yang akan dihapus adalah symlink, dan jika tidak, ia akan melanjutkan untuk menghapus direktori secara rekursif,” kata penasihat itu. “Ini mengekspos kondisi balapan: penyerang dapat membuat direktori dan menggantinya dengan symlink antara pemeriksaan dan penghapusan yang sebenarnya.”

Rust, meskipun bukan bahasa pemrograman yang banyak digunakan, telah menyaksikan lonjakan adopsi dalam beberapa tahun terakhir untuk jaminan keamanan terkait memorinya. Tahun lalu, Google mengumumkan bahwa versi open-source dari sistem operasi Android akan menambahkan dukungan untuk bahasa pemrograman untuk mencegah bug keamanan memori.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.