Yn 'e Cargo-pakketbehearder, brûkt om pakketten te behearjen en projekten te bouwen yn' e Rust-taal, binne twa kwetsberens identifisearre dy't kinne wurde eksploitearre by it downloaden fan spesjaal ûntworpen pakketten fan repositories fan tredden (it wurdt oanjûn dat brûkers fan 'e offisjele crates.io repository wurde net beynfloede troch it probleem). De earste kwetsberens (CVE-2022-36113) lit de earste twa bytes fan elk bestân oerskriuwe sa lang as de hjoeddeistige tagongsrjochten it tastean. De twadde kwetsberens (CVE-2022-36114) kin brûkt wurde om skiifromte út te lûken.
De kwetsberens sille wurde reparearre yn 'e frijlitting fan Rust 1.64, pland foar septimber 22. De kwetsberens wurde tawiisd in leech nivo fan earnst, sûnt ferlykbere skea by it brûken fan net ferifiearre pakketten fan tredden repositories kin wurde feroarsake mei help fan de standert mooglikheid om te lansearjen oanpaste handlers út gearstalling skripts of prosedurele makros levere yn it pakket. Tagelyk ferskille de boppeneamde problemen yn dat se wurde eksploitearre op it poadium fan it iepenjen fan it pakket nei it downloaden (sûnder montage).
Benammen, nei it ynladen fan in pakket, pakt cargo syn ynhâld yn 'e ~/.cargo-map en bewarret in teken fan suksesfolle útpakke yn it .cargo-ok-bestân. De essinsje fan 'e earste kwetsberens is dat de makker fan it pakket in symboalyske keppeling yn binnen pleatse kin mei de namme .cargo-ok, wat sil liede ta it skriuwen fan de tekst "ok" nei it bestân dat troch de keppeling oanwiisd wurdt.
De twadde kwetsberens wurdt feroarsake troch it ûntbrekken fan in limyt op 'e grutte fan gegevens dy't út it argyf helle wurde, dy't kinne wurde brûkt om "zip-bommen" te meitsjen (it argyf kin gegevens befetsje dy't de maksimale kompresjeferhâlding foar it zip-formaat kinne berikke - sawat 28 miljoen kear, yn dit gefal, bygelyks, in spesjaal taret 10 MB zip-bestân sil resultearje yn de dekompresje fan sawat 281 TB oan gegevens).
Boarne: opennet.ru