News.nextcloud.asia –
Pengelola bahasa pemrograman Rust telah merilis pembaruan keamanan untuk kerentanan tingkat tinggi yang dapat disalahgunakan oleh pihak jahat untuk membersihkan file dan direktori dari sistem yang rentan dengan cara yang tidak sah.
“Seorang penyerang dapat menggunakan masalah keamanan ini untuk mengelabui program istimewa agar menghapus file dan direktori yang tidak dapat diakses atau dihapus oleh penyerang,” kelompok kerja Rust Security Response (WG) dikatakan dalam sebuah nasehat diterbitkan pada 20 Januari 2021.
Rust 1.0.0 hingga Rust 1.58.0 dipengaruhi oleh kerentanan ini. Cacatnya, yang dilacak sebagai CVE-2022-21658 (Skor CVSS: 7.3), telah dikreditkan ke peneliti keamanan Hans Kratz, dengan tim mendorong perbaikan di Versi karat 1.58.1 dikirim minggu lalu.
Secara khusus, masalah ini berasal dari pemeriksaan yang tidak diterapkan dengan benar untuk mencegah penghapusan tautan simbolik secara rekursif (alias symlink) dalam fungsi perpustakaan standar bernama “std::fs::remove_dir_all.” Ini menghasilkan kondisi balapan, yang, pada gilirannya, dapat dieksploitasi secara andal oleh musuh dengan menyalahgunakan akses mereka ke program istimewa untuk menghapus direktori sensitif.
“Alih-alih memberi tahu sistem untuk tidak mengikuti symlink, perpustakaan standar terlebih dahulu memeriksa apakah hal yang akan dihapus adalah symlink, dan jika tidak, ia akan melanjutkan untuk menghapus direktori secara rekursif,” kata penasihat itu. “Ini mengekspos kondisi balapan: penyerang dapat membuat direktori dan menggantinya dengan symlink antara pemeriksaan dan penghapusan yang sebenarnya.”
Rust, meskipun bukan bahasa pemrograman yang banyak digunakan, telah menyaksikan lonjakan adopsi dalam beberapa tahun terakhir untuk jaminan keamanan terkait memorinya. Tahun lalu, Google mengumumkan bahwa versi open-source dari sistem operasi Android akan menambahkan dukungan untuk bahasa pemrograman untuk mencegah bug keamanan memori.
.
