Paketeak kudeatzeko eta Rust hizkuntzan proiektuak eraikitzeko erabiltzen den Cargo paketeen kudeatzailean, hirugarrenen biltegietatik bereziki diseinatutako paketeak deskargatzean balia daitezkeen bi ahultasun identifikatu dira (crates.io biltegi ofizialeko erabiltzaileek adierazten dute). ez dira arazoak eragiten). Lehen ahultasunak (CVE-2022-36113) edozein fitxategiren lehen bi byteak gainidazteko aukera ematen du, oraingo baimenek ahalbidetzen duten bitartean. Bigarren ahultasuna (CVE-2022-36114) diskoko espazioa agortzeko erabil daiteke.
Ahultasunak irailaren 1.64rako aurreikusita dagoen Rust 22 bertsioan konponduko dira. Ahultasunei larritasun-maila baxua esleitzen zaie, antzeko kalteak sor daitezkeelako hirugarrenen biltegietako egiaztatu gabeko paketeak erabiltzean paketean emandako muntaketa-scriptetatik edo prozedura-makroetatik kudeatzaile pertsonalizatuak abiarazteko gaitasun estandarra erabiliz. Aldi berean, aipatutako arazoak desberdinak dira, deskargatu ondoren paketea irekitzeko fasean (muntatzerik gabe) ustiatzen direlako.
Bereziki, pakete bat deskargatu ondoren, zamak bere edukia ~/.cargo direktorioan deskonprimitzen du eta .cargo-ok fitxategian deskonprimitu izanaren seinalea gordetzen du. Lehenengo ahultasunaren funtsa pakete-sortzaileak esteka sinboliko bat jar dezake barruan .cargo-ok izenarekin, eta horrek estekak adierazitako fitxategian "ok" testua idaztera eramango du.
Bigarren ahultasuna artxibotik ateratako datuen tamainaren mugarik ez izateak eragiten du, "zip bonbak" sortzeko erabil daitezkeenak (artxiboak zip formatuaren konpresio-erlazio maximoa lortzeko aukera ematen duten datuak izan ditzake - buruz. 28 milioi aldiz, kasu honetan, adibidez, bereziki prestatutako 10 MB zip fitxategi batek 281 TB datu gutxi gorabehera deskonprimituko ditu).
Iturria: opennet.ru