Du vundeblecoj estis identigitaj en la Cargo-pakaĵmanaĝero, kiu estas uzata por administri pakaĵojn kaj konstrui projektojn en la Rust-lingvo, kiuj povas esti ekspluatitaj dum elŝuto de speciale desegnitaj pakaĵoj el triaj deponejoj (oni supozas, ke uzantoj de la oficialaj kestoj. io-deponejo ne estis tuŝita de la problemo). La unua vundebleco (CVE-2022-36113) permesas anstataŭigi la unuajn du bajtojn en iu ajn dosiero, kondiĉe ke la nunaj permesoj permesas. La dua vundebleco (CVE-2022-36114) povas esti ekspluatata por elĉerpi liberan diskospacon.
La vundeblecoj estos korektitaj en la eldono de Rust 1.64, planita por la 22-a de septembro. Al la vundeblecoj estas asignitaj malalta nivelo de severeco, ĉar simila damaĝo dum uzado de nekontrolitaj pakaĵoj de triaj deponejoj povas esti kaŭzita de la norma kapablo prizorgi siajn prizorgilojn de la konstruaj skriptoj aŭ proceduraj makrooj provizitaj en la pakaĵo. Samtempe, la supraj problemoj diferencas pro tio, ke ilia operacio efektiviĝas en la stadio de malfermado de la pakaĵo post ŝarĝo (sen muntado).
Precipe, post ŝarĝo de pako, kargo malpakigas ĝian enhavon en la ~/.cargo-dosierujon kaj konservas signon de sukcesa malpakaĵo al la .cargo-ok dosiero. La esenco de la unua vundebleco estas, ke la kreinto de la pako povas meti simbolan ligon enen kun la nomo .cargo-ok, kio kondukos al skribi la tekston "ok" al la dosiero indikita de la ligo.
La dua vundebleco estas kaŭzita de la manko de limo pri la grandeco de datumoj ĉerpitaj el la arkivo, kiu povas esti uzata por krei "zip-bombojn" (datenoj povas esti metitaj en la arkivon por atingi la maksimuman kunpremadon por la zip-formato - ĉirkaŭ 28 milionojn da fojoj, en ĉi tiu kazo, ekzemple, speciale preparita 10 MB zip-dosiero malpakos ĉirkaŭ 281 TB da datumoj).
fonto: opennet.ru