In die Cargo-pakketbestuurder, wat gebruik word om pakkette te bestuur en projekte in die Rust-taal te bou, is twee kwesbaarhede geïdentifiseer wat uitgebuit kan word wanneer spesiaal ontwerpte pakkette vanaf derdeparty-bewaarplekke afgelaai word (daar word gesê dat gebruikers van die amptelike crates.io-bewaarplek word nie deur die probleem geraak nie). Die eerste kwesbaarheid (CVE-2022-36113) laat toe dat die eerste twee grepe van enige lêer oorskryf word solank as wat huidige toestemmings dit toelaat. Die tweede kwesbaarheid (CVE-2022-36114) kan gebruik word om skyfspasie uit te put.
Die kwesbaarhede sal reggestel word in die vrystelling van Rust 1.64, geskeduleer vir 22 September. Die kwesbaarhede word 'n lae vlak van erns toegeken, aangesien soortgelyke skade veroorsaak kan word wanneer ongeverifieerde pakkette van derdeparty-bewaarplekke gebruik word met die standaardvermoë om pasgemaakte hanteerders vanaf samestellingskrifte of prosedurele makro's wat in die pakket verskaf word, te begin. Terselfdertyd verskil die bogenoemde probleme deurdat dit uitgebuit word op die stadium van die oopmaak van die pakket na aflaai (sonder montering).
In die besonder, nadat 'n pakket afgelaai is, pak vrag sy inhoud in die ~/.cargo-gids uit en stoor 'n teken van suksesvolle uitpak in die .cargo-ok-lêer. Die kern van die eerste kwesbaarheid is dat die pakketskepper 'n simboliese skakel binne kan plaas met die naam .cargo-ok, wat sal lei tot die skryf van die teks "ok" na die lêer waarna die skakel verwys.
Die tweede kwesbaarheid word veroorsaak deur die gebrek aan 'n beperking op die grootte van data wat uit die argief onttrek word, wat gebruik kan word om "zip-bomme" te skep (die argief kan data bevat wat dit moontlik maak om die maksimum kompressieverhouding vir die zip-formaat te bereik - ongeveer 28 miljoen keer, in hierdie geval, byvoorbeeld, 'n spesiaal voorbereide 10 MB zip-lêer sal lei tot die dekompressie van ongeveer 281 TB data).
Bron: opennet.ru