ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Mga kahuyangan sa tagdumala sa pakete sa Cargo nga gigamit alang sa mga proyekto sa Rust

Mga kahuyangan sa tagdumala sa pakete sa Cargo nga gigamit alang sa mga proyekto sa Rust

Sa tagdumala sa pakete sa Cargo, nga gigamit sa pagdumala sa mga pakete ug pagtukod og mga proyekto sa Rust nga pinulongan, duha ka mga kahuyangan ang giila nga mahimong mapahimuslan sa pag-download sa espesyal nga gidisenyo nga mga pakete gikan sa mga ikatulong partido nga mga repository (gipahayag nga ang mga tiggamit sa opisyal nga crates.io repositoryo dili apektado sa problema). Ang unang kahuyang (CVE-2022-36113) nagtugot sa unang duha ka byte sa bisan unsang file nga ma-overwrite basta ang kasamtangang permiso motugot. Ang ikaduha nga kahuyang (CVE-2022-36114) mahimong gamiton aron mahurot ang espasyo sa disk.

Ang mga kahuyangan masulbad sa pagpagawas sa Rust 1.64, nga gikatakda sa Septyembre 22. Ang mga kahuyangan gi-assign sa usa ka ubos nga lebel sa kagrabe, tungod kay ang parehas nga kadaot mahimong hinungdan kung gigamit ang wala mapamatud-an nga mga pakete gikan sa mga repository sa ikatulo nga partido gamit ang sukaranan nga abilidad sa paglansad sa mga kostumbre nga tigdumala gikan sa mga script sa asembliya o mga macro sa pamaagi nga gihatag sa package. Sa parehas nga oras, ang mga problema nga gihisgutan sa ibabaw magkalainlain tungod kay sila gipahimuslan sa yugto sa pag-abli sa package pagkahuman sa pag-download (nga wala’y asembliya).

Sa partikular, human sa pag-download sa usa ka pakete, ang kargamento mag-unpack sa mga sulod niini ngadto sa ~/.cargo directory ug magtipig og timaan sa malampusong pag-unpack sa .cargo-ok file. Ang esensya sa unang kahuyang mao nga ang taghimo sa pakete makabutang ug simbolikong sumpay sa sulod nga adunay ngalan nga .cargo-ok, nga mosangpot sa pagsulat sa teksto nga β€œok” sa file nga gitudlo sa link.

Ang ikaduha nga pagkahuyang tungod sa kakulang sa limitasyon sa gidak-on sa datos nga gikuha gikan sa archive, nga mahimong magamit sa paghimo og "zip bombs" (ang archive mahimong adunay mga datos nga nagtugot sa pagkab-ot sa maximum compression ratio alang sa zip format - mahitungod sa 28 milyon nga mga panahon, sa kini nga kaso, pananglitan, ang usa ka espesyal nga giandam nga 10 MB nga zip file moresulta sa pag-decompression sa gibana-bana nga 281 TB nga datos).

Source: opennet.ru

Idugang sa usa ka comment