Amazon Linux 2023:cargo、clippy、rust (ALAS2023-2026-1568)
medium Nessus Plugin ID 306203
語言:
概要
遠端 Amazon Linux 2023 主機缺少一個安全性更新。說明
因此,它會受到 ALAS2023-2026-1568 公告中所提及的多個弱點影響。gix-date 程式庫中的瑕疵可產生無效的非 UTF8 字串進而導致在處理時發生未定義的行為。成功攻擊最有可能對資料完整性造成影響因為惡意資料可能會損毀保留在記憶體中的資料同時也會對系統可用性造成影響因為這最終可能會導致使用 gix_date 程式庫的軟體損毀。 (CVE-2026-0810)
tar-rs 是適用於 Rust 的 tar 封存讀取/寫入程式庫。 0.4.44 版及更舊版本的條件邏輯會在基本標頭大小非零時略過 PAX 大小標頭。作為 CVE-2025-62518的一部分astral-tokio-tar 專案已變更為在 PAX 大小標頭與基本標頭不同的情況下正確接受它。這與 astral-tokio-tar 問題幾乎相反。tar 剖析器接受檔案大小方式的任何差異可用來建立由不同封存器解壓縮時顯示不同的封存。在此情況下tar-rs (Rust tar) 箱在檢查標頭大小時是異常值 - 其他 tar 剖析器 (例如 Go archive/tar) 會無條件使用 PAX 大小覆寫。這會影響使用 tar crate 剖析封存並預期與其他剖析器具有一致檢視的項目。0.4.45 版已修正此問題。(CVE-2026-33055)
tar-rs 是適用於 Rust 的 tar 封存讀取/寫入程式庫。在 0.4.44 及之前的版本中解壓縮 tar 封存時tar 箱的 unpack_dir 函式會使用 fs::metadata() 檢查已存在的路徑是否為目錄。由於 fs::metadata() 遵循符號連結因此包含符號連結項目後跟同名目錄項目的特製 tarball會造成 crate 將符號連結目標視為有效的現有目錄 -- 並隨後對其套用 chmod。這會允許攻擊者修改擷取 root 外任意目錄的權限。0.4.45 版已修正此問題。(CVE-2026-33056)
Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
執行「dnf update rust --releasever 2023.11.20260413」或「dnf update --advisory ALAS2023-2026-1568 --releasever 2023.11.20260413」以更新系統。另請參閱
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1568.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-0810.html
Plugin 詳細資訊
嚴重性: Medium
ID: 306203
檔案名稱: al2023_ALAS2023-2026-1568.nasl
版本: 1.1
類型: Local
代理程式: unix
已發布: 2026/4/13
已更新: 2026/4/13
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: High
基本分數: 9.4
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 評分資料來源: CVE-2026-33055
CVSS v3
風險因素: High
基本分數: 8.1
時間性分數: 7.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: Medium
Base Score: 5.1
Threat Score: 2
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
CVSS 評分資料來源: CVE-2026-33056
弱點資訊
CPE: p-cpe:/a:amazon:linux:rustfmt-debuginfo, p-cpe:/a:amazon:linux:cargo, p-cpe:/a:amazon:linux:rust-std-static-wasm32-wasip1, p-cpe:/a:amazon:linux:rust, p-cpe:/a:amazon:linux:rust-lldb, p-cpe:/a:amazon:linux:rust-debuginfo, p-cpe:/a:amazon:linux:rust-analyzer-debuginfo, p-cpe:/a:amazon:linux:rust-debugsource, p-cpe:/a:amazon:linux:rust-debugger-common, p-cpe:/a:amazon:linux:rust-toolset-srpm-macros, p-cpe:/a:amazon:linux:rustfmt, p-cpe:/a:amazon:linux:clippy-debuginfo, p-cpe:/a:amazon:linux:rust-toolset, p-cpe:/a:amazon:linux:rust-analyzer, p-cpe:/a:amazon:linux:rust-std-static-wasm32-unknown-unknown, p-cpe:/a:amazon:linux:rust-src, p-cpe:/a:amazon:linux:cargo-debuginfo, p-cpe:/a:amazon:linux:rust-gdb, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:rust-doc, p-cpe:/a:amazon:linux:rust-std-static, p-cpe:/a:amazon:linux:clippy
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/4/13
弱點發布日期: 2026/1/5