原标题:Rust发出首个官方CVE资安通报,漏洞影响虽小但要大家保有资安意识
Rust迎来第一个通用漏洞披露(Common△Vulnerabilities△and△Exposures,CVE),红帽(Red△Hat)主动于7月3日向Rust官方通报,Rustdoc的套件功能存在意料之外的路径臭虫,当使用者没有传递路径给Rustdoc时,系统则会使用预设位置/tmp,而多数作业系统/tmp是公开可写入的,便让骇客有机可乘放入恶意程式。官方提到,这个漏洞影响很小,但是许多人过度宣称Rust的安全性,而这个事件刚好能够警惕开发者,Rust无法保证没有臭虫发生。
在Rust标准发布版中,会夹带一个名为Rustdoc的工具,为Rust专案产生说明文件,Rustdoc可以将Crate△root或是Markdown档案作为输入参数,生成HTML、CSS与JavaScript格式的档案。而Rust有一个套件功能,允许开发者使用特定的符号创建函式库来开发套件,借由指示Rustdoc使用该套件,系统会载入并以回呼的方式执行函式来修改Rustdoc的AST型态。
而当使用者没有给定系统套件路径参数,Rustdoc则会使用预设路径tmp/rustdoc/plugins,由于在多数的作业系统上/tmp是开放公开写入的,因此骇客就能趁机把恶意的套件放到tmp/rustdoc/plugins中,并以Rustdoc载入该套件,执行攻击者的回呼函式以及任意Rust程式码。
但官方提到,这个漏洞很难被骇客利用,因为本身Rustdoc套件功能就已经很难使用了。由于函式输入以及回传需要使用Rustdoc的AST型态,但是Rust专案并没有对终端用户发送librustdoc,也就是说使用者必须自己合成该型态,而且Rust的ABI又极度不稳定,因此动态载入套件这个动作,只有在套件与Rustdoc使用相同的编译器修订时才能保证被执行。所以虽然这个功能在程式码中,但缺乏实际用处。
不使用Rustdoc这个功能的开发者就不受漏洞影响,也由于这个套件功能长期被弃用,在缺乏必需的函式库情况下,在当前所有Rust版本中都无法使用,但毕竟该臭虫还是可能为用户带来问题,官方预计会将该行为从Rustdoc中删除,新的更新版本将于下星期在各版本的频道中发送,这个套件的基础架构在1.0前就存在,但即刻起已无法在Rust稳定版或是Nightly中使用,这个功能删除也不会影响任何Rust用户。
这个漏洞是Rust第一个官方CVE资安通报,由于该漏洞还在申请CVE的过程,目前还未有编号。虽然该漏洞影响非常小,但官方仍然决定遵循完整的安全漏洞程序,并在7月10日发布1.27.1稳定版修补这个臭虫。由于官方确定没有人可以利用这个漏洞,因此在更新发布前,就提早释出漏洞的资讯。
官方特别提醒,Rust虽然在程式编译的过程,阻挡了许多可能产生的问题,但这些仅限于记忆体不安全所导致的问题,而这个Rustdoc套件功能的漏洞,是一个逻辑错误,代表Rust程式码本身并不是必定安全且没有臭虫的,官方认为,部分使用者太过狂热,会过度宣称Rust的安全性,这样反而是危险的事,而这个臭虫正好证明了Rust无法阻挡所有安全性问题。
相关:
WordPress释出安全更新,修复可从外部删除档案的程式码执行漏洞
资安公司Ripstech在7个月前向WordPress资安团队回报,一个允许外部删除档案的程式码执行漏洞,但WordPress却音讯全无,即使在5月中推出的4.9.6版本,也不见修补该漏洞,Ripstech于是在6月26日怒公开该漏洞细节,Word
Android P扩大编译器缓解漏洞措施,可防范程式码重用攻击
Google宣布在Android△P中扩展编译器缓解漏洞的作法,来让特定类型的漏洞攻击失效。当未定义行为出现在,Android△P会让Runtime操作安全的失败,这个做法综合了两部分,分别是控制流程完整性(Control△Flow△Integr
示意图,与新闻事件无关。 多名研究人员于上周发表一研究报告,表示他们在大家所熟悉的4G△LTE(Long-Term△Evolution)网络的资料连结层(Data△Link△Layer)中发现了3种攻击途径,其中有两种属于被动攻击,可比
Android 记忆体漏洞 RAMpage 泄露个人资料 2012年后出产Android装置受影响 | 香港 UNWIRE.HK 玩生活.乐科技
一个国际研究队伍发现,智能手机与平板电脑搭载的 Android 系统,通过恶意应用程序码,可令装置内储存的密码、帐户资料等重要资料,向第三者泄漏。此次的漏洞被称为“RAMpage”,从2012年之后出产的 Android 装置都有
Facebook 问卷应用程序爆私隐漏洞 1.2 亿用家资料任人取 | 香港 UNWIRE.HK 玩生活.乐科技
自 Facebook 爆出用户私隐丑闻后,他们就致力改善用家私隐被外泄的状况。如今,一位研究人员发现,一个名为 NameTests 的测验 App出现一个严重保安漏洞,将 1.2 亿名用家资料曝露在他们的 javascript 文件之中。资讯