በካርጎ ፓኬጅ ማኔጀር ውስጥ፣ እሽጎችን ለማስተዳደር እና በዝገት ቋንቋ ፕሮጄክቶችን ለመገንባት፣ ከሶስተኛ ወገን ማከማቻዎች በልዩ ሁኔታ የተነደፉ ፓኬጆችን ሲያወርዱ ሊጠቀሙባቸው የሚችሉ ሁለት ተጋላጭነቶች ተለይተዋል (የኦፊሴላዊው crates.io ማከማቻ ተጠቃሚዎች ተገልጻል ። በችግሩ አይነኩም). የመጀመሪያው ተጋላጭነት (CVE-2022-36113) የአሁን ፈቃዶች እስከፈቀዱ ድረስ የማንኛውም ፋይል የመጀመሪያዎቹ ሁለት ባይት እንዲጻፍ ይፈቅዳል። ሁለተኛው ተጋላጭነት (CVE-2022-36114) የዲስክ ቦታን ለማጥፋት ሊያገለግል ይችላል።
ተጋላጭነቶቹ በሴፕቴምበር 1.64 በታቀደው የ Rust 22 መለቀቅ ላይ ይስተካከላሉ። ከሶስተኛ ወገን ማከማቻዎች ያልተረጋገጡ ፓኬጆችን ሲጠቀሙ ተመሳሳይ ጉዳት ሊደርስ ስለሚችል ተጋላጭነቶቹ ዝቅተኛ የክብደት ደረጃ ተሰጥተዋል ። በተመሳሳይ ጊዜ, ከላይ የተጠቀሱት ችግሮች የሚለያዩት ከወረዱ በኋላ (ያለ ስብሰባ) ጥቅሉን በሚከፍትበት ደረጃ ላይ በመበዝበዝ ነው.
በተለይም አንድ ጥቅል ካወረዱ በኋላ ካርጎ ይዘቱን ወደ ~/. የካርጎ ማውጫ ውስጥ ይከፍታል እና በካርጎ-ኦክ ፋይል ውስጥ በተሳካ ሁኔታ የመልቀቂያ ምልክት ያከማቻል። የመጀመርያው የተጋላጭነት ይዘት የጥቅሉ ፈጣሪ .ካርጎ-ኦክ የሚል ስም ያለው ተምሳሌታዊ ማገናኛን በውስጡ ማስቀመጥ ይችላል፣ይህም “እሺ” የሚለውን ጽሁፍ በአገናኙ በተጠቆመው ፋይል ላይ እንዲጽፍ ያደርጋል።
ሁለተኛው ተጋላጭነት ከማህደሩ የወጣው መረጃ መጠን ላይ ገደብ ባለመኖሩ ነው፣ ይህም “ዚፕ ቦምቦችን” ለመፍጠር ሊያገለግል ይችላል (ማህደሩ ለዚፕ ቅርጸት ከፍተኛውን የመጨመቂያ ሬሾን ለማግኘት የሚያስችል መረጃ ሊይዝ ይችላል - ስለ 28 ሚሊዮን ጊዜ, በዚህ ሁኔታ, ለምሳሌ, በተለየ ሁኔታ የተዘጋጀ 10 ሜጋ ባይት ዚፕ ፋይል በግምት 281 ቴባ ውሂብ መበስበስ ያስከትላል).
ምንጭ: opennet.ru