2022-0158: Rust: Eine Schwachstelle ermöglicht die Manipulation von Dateien

Historie:

Version 1 (2022-01-21 15:17)

Neues Advisory

Version 2 (2022-01-24 09:59)

Für Fedora 34 und 35 stehen Sicherheitsupdates zur Behebung der Schwachstelle im Status 'testing' bereit. Die betroffene Software wird damit auf Version 1.58 aktualisiert.

Version 3 (2022-01-26 09:34)

Für SUSE Linux Enterprise Module for Development Tools 15 SP3 und openSUSE Leap 15.3 stehen nun auch Sicherheitsupdates für 'rust1.55' und 'rust1.57' zur Behebung der Schwachstelle bereit.

Version 4 (2022-01-26 17:20)

Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS und SUSE Linux Enterprise High Performance Computing 15 LTSS / ESPOS stehen Sicherheitsupdates für 'rust' bereit, um die Schwachstelle zu beheben.

Version 5 (2022-01-28 11:27)

Fedora aktualisiert den Crate 'thread_local' auf Version 1.1.4, wodurch RUSTSEC-2022-0006 adressiert wird. Alle Anwendungen, die statisch auf 'thread_local' verweisen, wurden neu gebaut und enthalten zusätzlich einen Patch für CVE-2022-21658. Die aktualisierten Pakete 'rust-afterburn', 'rust-askalono-cli', 'rust-below', 'rust-cargo-c', 'rust-cargo-insta', 'rust-fd-find', 'rust-lsd', 'rust-oxipng', 'rust-python-launcher', 'rust-ripgrep', 'rust-skim', 'rust-thread_local', 'rust-tokei' und 'zola' stehen als Sicherheitsupdates für Fedora 34 und 35 im Status 'testing' bereit.

Version 6 (2022-01-28 11:57)

Für Fedora 34 und 35 stehen im Kontext von RUSTSEC-2022-0006 und CVE-2022-21658 weitere aktualisierte Pakete im Status 'testing' bereit. Dies sind 'rust-cargo-insta', 'rust-insta', 'rust-ron0.6', 'rust-ron', 'rust-similar' und 'rust-similar-asserts'.

Version 7 (2022-02-01 08:29)

Für Fedora 35 steht im Kontext von RUSTSEC-2022-0006 und CVE-2022-21658 das Paket 'rust-afterburn-5.2.0-4.fc35' im Status 'testing' bereit.

Version 8 (2022-02-07 10:06)

Für Fedora 34 steht im Kontext von RUSTSEC-2022-0006 und CVE-2022-21658 das Paket 'rust-afterburn-5.2.0-4.fc34' im Status 'testing' bereit.

Version 9 (2022-02-18 17:03)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6 und 7, SUSE Linux Enterprise High Performance Computing 15 SP1 und SP2 ESPOS und LTSS, SUSE Linux Enterprise Realtime Extension 15 SP2, SUSE Linux Enterprise Server 15 SP1 BCL, SP1 LTSS, SP2 BCL und SP2 LTSS, SUSE Linux Enterprise Server for SAP 15 SP1 und SP2 sowie SUSE Manager Proxy 4.1 und SUSE Manager Server 4.1 stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'rust' adressiert wird.

Version 10 (2022-02-21 08:48)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form der Pakete 'llvm13-13.0.1-1.el7' und 'rust-1.58.1-1.el7' zur Behebung der Schwachstelle im Status 'testing' bereit. Die betroffene Software wird damit auf Version 1.58 aktualisiert.

Version 11 (2022-02-22 08:56)

Für openSUSE Leap 15.3 und 15.4 stehen Sicherheitsupdates für 'rust' bereit, um die Schwachstelle zu beheben.

Version 12 (2022-03-15 18:04)

Für SUSE Linux Enterprise Desktop 15 SP3, SUSE Linux Enterprise High Performance Computing 15 SP3, SUSE Linux Enterprise Module for Development Tools 15 SP3, SUSE Linux Enterprise Server 15 SP3, SUSE Linux Enterprise Server for SAP Applications 15 SP3 sowie SUSE Manager Proxy 4.2 und SUSE Manager Server 4.2 stehen Sicherheitsupdates für 'rust', 'rust1.58' und 'rust1.59' bereit, mit denen die Schwachstelle behoben wird.

Version 13 (2022-03-15 18:13)

Für openSUSE Leap 15.3 und 15.4 stehen die Sicherheitsupdates für 'rust', 'rust1.58' und 'rust1.59' ebenfalls bereit.

Version 14 (2022-05-11 17:14)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'rust-toolset:rhel8' bereit, um die Schwachstelle zu beheben. Die Sicherheitsupdates werden im Kontext des Red Hat Enterprise Linux 8.6 Releases veröffentlicht.

Betroffene Software

Entwicklung

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Dateien zu manipulieren. Für die Ausnutzung der Schwachstelle sind übliche Privilegien erforderlich.

Für SUSE Linux Enterprise Module for Development Tools 15 SP3 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'rust1.56' zur Behebung der Schwachstelle bereit. SUSE gibt an, dass die Schwachstelle nur lokal ausgenutzt werden kann.

Schwachstellen:

CVE-2022-21658

Schwachstelle in Rust ermöglicht Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.