Yn y rheolwr pecynnau Cargo, a ddefnyddir i reoli pecynnau ac adeiladu prosiectau yn yr iaith Rust, mae dau wendid wedi'u nodi y gellir eu hecsbloetio wrth lawrlwytho pecynnau a ddyluniwyd yn arbennig o ystorfeydd trydydd parti (nodir bod defnyddwyr y storfa crates.io swyddogol nad ydynt yn cael eu heffeithio gan y broblem). Mae'r bregusrwydd cyntaf (CVE-2022-36113) yn caniatΓ‘u i ddau beit cyntaf unrhyw ffeil gael eu trosysgrifo cyhyd Γ’ bod caniatΓ’d cyfredol yn caniatΓ‘u. Gellir defnyddio'r ail fregusrwydd (CVE-2022-36114) i wacΓ‘u gofod disg.
Bydd y gwendidau yn sefydlog wrth ryddhau Rust 1.64, a drefnwyd ar gyfer Medi 22. Rhoddir lefel isel o ddifrifoldeb i'r gwendidau, gan y gellir achosi niwed tebyg wrth ddefnyddio pecynnau heb eu gwirio o ystorfeydd trydydd parti gan ddefnyddio'r gallu safonol i lansio trinwyr arfer o sgriptiau cynulliad neu macros gweithdrefnol a gyflenwir yn y pecyn. Ar yr un pryd, mae'r problemau uchod yn wahanol gan eu bod yn cael eu hecsbloetio yn ystod y cam o agor y pecyn ar Γ΄l ei lawrlwytho (heb gynulliad).
Yn benodol, ar Γ΄l lawrlwytho pecyn, mae cargo yn dadbacio ei gynnwys yn y cyfeiriadur ~/.cargo ac yn storio arwydd o ddadbacio llwyddiannus yn y ffeil .cargo-ok. Hanfod y bregusrwydd cyntaf yw y gall crΓ«wr y pecyn osod dolen symbolaidd y tu mewn gyda'r enw .cargo-ok, a fydd yn arwain at ysgrifennu'r testun βiawnβ i'r ffeil y mae'r ddolen yn cyfeirio ati.
Mae'r ail fregusrwydd yn cael ei achosi gan ddiffyg cyfyngiad ar faint y data a dynnwyd o'r archif, y gellir eu defnyddio i greu "bomiau zip" (gall yr archif gynnwys data sy'n caniatΓ‘u cyflawni'r gymhareb cywasgu uchaf ar gyfer y fformat sip - tua 28 miliwn o weithiau, yn yr achos hwn, er enghraifft, bydd ffeil zip 10 MB a baratowyd yn arbennig yn arwain at ddatgywasgu tua 281 TB o ddata).
Ffynhonnell: opennet.ru