In u gestore di pacchetti Cargo, utilizatu per gestisce pacchetti è custruisce prughjetti in a lingua Rust, sò state identificate duie vulnerabilità chì ponu esse sfruttate quandu si scaricanu pacchetti apposta da i repositori di terzu (si dice chì l'utilizatori di u repository ufficiale crates.io). ùn sò micca affettati da u prublema). A prima vulnerabilità (CVE-2022-36113) permette à i primi dui bytes di qualsiasi fugliale per esse sovrascritti, sempre chì i permessi attuali permettenu. A seconda vulnerabilità (CVE-2022-36114) pò esse usata per esaurisce u spaziu di discu.
E vulnerabilità seranu corrette in a liberazione di Rust 1.64, prevista per u 22 di settembre. I vulnerabili sò attribuiti à un livellu bassu di gravità, postu chì un dannu simile quandu si usanu pacchetti micca verificati da repositori di terze parti pò esse causatu cù l'abilità standard di lanciari gestori persunalizati da script di assemblea o macros procedurali furniti in u pacchettu. À u listessu tempu, i prublemi sopra citati sò diffirenti in quantu sò sfruttati in u stadiu di l'apertura di u pacchettu dopu a scaricamentu (senza assemblea).
In particulare, dopu avè scaricatu un pacchettu, a carica sguassate u so cuntenutu in u repertoriu ~/.cargo è guarda un signu di unpacking successu in u schedariu .cargo-ok. L'essenza di a prima vulnerabilità hè chì u creatore di u pacchettu pò mette un ligame simbolicu in l'internu cù u nome .cargo-ok, chì porta à scrive u testu "ok" à u schedariu indicatu da u ligame.
A seconda vulnerabilità hè causata da a mancanza di un limitu in a dimensione di dati estratti da l'archiviu, chì pò esse usatu per creà "zip bombs" (l'archiviu pò cuntene dati chì permette di ottene u rapportu massimu di compressione per u formatu zip - circa 28 milioni di volte, in questu casu, per esempiu, un schedariu zip di 10 MB preparatu apposta darà a decompressione di circa 281 TB di dati).
Source: opennet.ru