Les mainteneurs du langage de programmation Rust ont publié une mise à jour de sécurité pour une vulnérabilité de haute gravité qui pourrait être exploitée pour purger des fichiers et des répertoires d'un système vulnérable de manière non autorisée.

"Un attaquant pourrait utiliser ce problème de sécurité pour inciter un programme privilégié à supprimer des fichiers et des répertoires auxquels l'attaquant ne pourrait pas accéder ou qu'il ne pourrait pas supprimer autrement", a déclaré le groupe de travail Rust Security Response (WG) dans un avis publié le 20 janvier 2021.

La faille, suivie sous le nom de CVE-2022-21658, a reçu un score CVSS de 7.3 et elle affecte les versions Rust 1.0.0 à Rust 1.58.0.

"Au lieu de dire au système de ne pas suivre les liens symboliques, la bibliothèque standard vérifiait d'abord si ce qu'elle était sur le point de supprimer était un lien symbolique, et dans le cas contraire, elle procédait à la suppression récursive du répertoire", indique l'avis. "Cela exposait une condition de course : un attaquant pouvait créer un répertoire et le remplacer par un lien symbolique entre la vérification et la suppression effective."

Les utilisateurs des versions antérieurs la version 1.58.1 sont invités à appliquer les correctifs.