Nan manadjè pake kago, yo itilize pou jere pakè ak bati pwojè nan lang Rust, yo te idantifye de frajilite ki ka eksplwate lè w ap telechaje pakè ki fèt espesyalman nan depo twazyèm pati (li deklare ke itilizatè ofisyèl crates.io depo a. yo pa afekte pa pwoblèm nan). Premye vilnerabilite (CVE-2022-36113) pèmèt de premye byte nenpòt ki dosye yo dwe ranplase toutotan pèmisyon aktyèl yo pèmèt. Dezyèm vilnerabilite a (CVE-2022-36114) ka itilize pou itilize espas disk.
Vulnerabilite yo pral fiks nan lage Rust 1.64, ki pwograme pou 22 septanm. Yo bay vilnerabilite yo yon nivo ki ba nan severite, paske menm jan mal ka koze lè w ap itilize pakè ki pa verifye nan repozitwa twazyèm pati lè l sèvi avèk kapasite estanda pou lanse moun kap okipe asanble a oswa makro pwosedi yo bay nan pake a. An menm tan an, pwoblèm yo mansyone pi wo a diferan nan ke yo eksplwate nan etap la nan louvri pake a apre telechaje (san asanble).
An patikilye, apre w fin telechaje yon pake, kago depake sa ki ladan l nan anyè ~/.cargo epi estoke yon siy depake siksè nan dosye .cargo-ok. Sans nan vilnerabilite nan premye se ke kreyatè a pake ka mete yon lyen senbolik andedan ak non an .cargo-ok, ki pral mennen nan ekri tèks la "ok" nan dosye a pwente nan lyen an.
Se dezyèm vilnerabilite ki te koze pa mank de yon limit sou gwosè a nan done ekstrè nan achiv la, ki ka itilize yo kreye "bonm postal" (achiv la ka gen ladan done ki pèmèt reyalize rapò a konpresyon maksimòm pou fòma postal la - sou 28 milyon fwa, nan ka sa a, pou egzanp, yon fichye postal 10 MB ki prepare espesyalman pral lakòz dekonpresyon apeprè 281 TB done).
Sous: opennet.ru