Í Cargo pakkastjóranum, sem notaður er til að stjórna pökkum og smíða verkefni á Rust tungumálinu, hefur verið greint frá tveimur veikleikum sem hægt er að nýta þegar hlaðið er niður sérhönnuðum pakka úr geymslum þriðja aðila (tekið er fram að notendur opinberu crates.io geymslunnar eru ekki fyrir áhrifum af vandamálinu). Fyrsta varnarleysið (CVE-2022-36113) gerir kleift að skrifa yfir fyrstu tvö bæti hvaða skrá sem er svo lengi sem núverandi heimildir leyfa. Seinni varnarleysið (CVE-2022-36114) er hægt að nota til að tæma diskpláss.
Varnarleysið verður lagað í útgáfu Rust 1.64, sem áætluð er 22. september. Varnarleysinu er úthlutað lágu alvarleikastigi, þar sem svipaður skaði við notkun óstaðfestra pakka frá geymslum þriðja aðila getur stafað af því að nota staðlaða getu til að ræsa sérsniðna meðhöndlun úr samsetningarforskriftum eða málsmeðferðarfjölva sem fylgir pakkanum. Á sama tíma eru ofangreind vandamál frábrugðin því að þau eru nýtt á því stigi að pakkann er opnuð eftir niðurhal (án samsetningar).
Sérstaklega, eftir að pakka hefur verið hlaðið niður, pakkar farmur innihaldi hans upp í ~/.cargo skrána og geymir merki um að upptakan hafi tekist í .cargo-ok skránni. Kjarninn í fyrsta varnarleysinu er sá að skapari pakkans getur sett táknrænan hlekk inni með nafninu .cargo-ok, sem mun leiða til þess að textinn „allt í lagi“ er skrifaður í skrána sem hlekkurinn vísar á.
Annað varnarleysið stafar af skorti á takmörkunum á stærð gagna sem tekin eru úr skjalasafninu, sem hægt er að nota til að búa til „zip sprengjur“ (skjalasafnið getur innihaldið gögn sem gera kleift að ná hámarksþjöppunarhlutfalli fyrir zip sniðið - u.þ.b. 28 milljón sinnum, í þessu tilfelli, til dæmis, mun sérútbúin 10 MB zip skrá leiða til afþjöppunar á um það bil 281 TB af gögnum).
Heimild: opennet.ru