ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ರಸ್ಟ್ ಯೋಜನೆಗಳನ್ನು ನಿರ್ಮಿಸಲು ಬಳಸಲಾಗುವ ಕಾರ್ಗೋ ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನಲ್ಲಿ ಎರಡು ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಮೂರನೇ ವ್ಯಕ್ತಿಯ ರೆಪೊಸಿಟರಿಗಳಿಂದ ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಮೂಲಕ ಅವುಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಬಹುದು (ಸಮಸ್ಯೆಯು ಅಧಿಕೃತ crates.io ರೆಪೊಸಿಟರಿಯ ಬಳಕೆದಾರರ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಿಲ್ಲ ಎಂದು ಹೇಳಲಾಗುತ್ತದೆ). ಮೊದಲ ದುರ್ಬಲತೆ (CVE-2022-36113) ಪ್ರಸ್ತುತ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು ಅನುಮತಿಸುವವರೆಗೆ, ಯಾವುದೇ ಫೈಲ್ನ ಮೊದಲ ಎರಡು ಬೈಟ್ಗಳನ್ನು ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಎರಡನೇ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-36114) ಉಚಿತ ಡಿಸ್ಕ್ ಜಾಗವನ್ನು ಖಾಲಿ ಮಾಡಲು ಬಳಸಬಹುದು.
ಸೆಪ್ಟೆಂಬರ್ 1.64 ರಂದು ನಿಗದಿಯಾಗಿರುವ ರಸ್ಟ್ 22 ಬಿಡುಗಡೆಯಲ್ಲಿ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗುತ್ತದೆ. ದುರ್ಬಲತೆಗಳಿಗೆ ಕಡಿಮೆ ತೀವ್ರತೆಯ ಮಟ್ಟವನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ, ಏಕೆಂದರೆ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಪರಿಶೀಲಿಸದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಬಳಸುವಾಗ ಇದೇ ರೀತಿಯ ಹಾನಿಯು ಪ್ಯಾಕೇಜ್ನ ಬಿಲ್ಡ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಅಥವಾ ಕಾರ್ಯವಿಧಾನದ ಮ್ಯಾಕ್ರೋಗಳಿಂದ ನಿಮ್ಮ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಪ್ರಮಾಣಿತ ಸಾಮರ್ಥ್ಯದಿಂದ ಉಂಟಾಗಬಹುದು. ಅದೇ ಸಮಯದಲ್ಲಿ, ಮೇಲೆ ತಿಳಿಸಿದ ಸಮಸ್ಯೆಗಳು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಿದ ನಂತರ (ಕಟ್ಟದೆ) ವಿಸ್ತರಿಸುವ ಹಂತದಲ್ಲಿ ಅವುಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ ಎಂಬ ಅಂಶದಲ್ಲಿ ಭಿನ್ನವಾಗಿರುತ್ತವೆ.
ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಿದ ನಂತರ, ಕಾರ್ಗೋ ಅದರ ವಿಷಯಗಳನ್ನು ~/.cargo ಡೈರೆಕ್ಟರಿಗೆ ಅನ್ಪ್ಯಾಕ್ ಮಾಡುತ್ತದೆ ಮತ್ತು .cargo-ok ಫೈಲ್ನಲ್ಲಿ ಯಶಸ್ವಿ ಅನ್ಪ್ಯಾಕಿಂಗ್ ಫ್ಲ್ಯಾಗ್ ಅನ್ನು ಉಳಿಸುತ್ತದೆ. ಮೊದಲ ದುರ್ಬಲತೆಯ ಸಾರವೆಂದರೆ ಪ್ಯಾಕೇಜ್ನ ಸೃಷ್ಟಿಕರ್ತ ಒಳಗೆ .cargo-ok ಹೆಸರಿನ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ಇರಿಸಬಹುದು, ಇದು ಲಿಂಕ್ನಿಂದ ಸೂಚಿಸಲಾದ ಫೈಲ್ಗೆ "ok" ಪಠ್ಯವನ್ನು ಬರೆಯಲು ಕಾರಣವಾಗುತ್ತದೆ.
ಎರಡನೇ ದುರ್ಬಲತೆಯು ಆರ್ಕೈವ್ನಿಂದ ಹೊರತೆಗೆಯಲಾದ ಡೇಟಾದ ಗಾತ್ರದ ಮೇಲೆ ಮಿತಿಯ ಕೊರತೆಯಿಂದ ಉಂಟಾಗುತ್ತದೆ, ಇದನ್ನು "ಜಿಪ್ ಬಾಂಬ್ಗಳನ್ನು" ರಚಿಸಲು ಬಳಸಬಹುದು (ಆರ್ಕೈವ್ ಜಿಪ್ ಸ್ವರೂಪಕ್ಕೆ ಗರಿಷ್ಠ ಸಂಕೋಚನ ಅನುಪಾತವನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುವ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರಬಹುದು - ಸುಮಾರು 28 ಮಿಲಿಯನ್ ಬಾರಿ, ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಉದಾಹರಣೆಗೆ, 10 MB ಯ ವಿಶೇಷವಾಗಿ ಸಿದ್ಧಪಡಿಸಿದ ಜಿಪ್ ಫೈಲ್ ಸುಮಾರು 281 TB ಡೇಟಾವನ್ನು ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲು ಕಾರಣವಾಗುತ್ತದೆ).
ಮೂಲ: opennet.ru
