ರಸ್ಟ್ ಭಾಷೆಯಲ್ಲಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಮತ್ತು ಪ್ರಾಜೆಕ್ಟ್ಗಳನ್ನು ನಿರ್ಮಿಸಲು ಬಳಸಲಾಗುವ ಕಾರ್ಗೋ ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನಲ್ಲಿ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ರೆಪೊಸಿಟರಿಗಳಿಂದ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವಾಗ ಬಳಸಿಕೊಳ್ಳಬಹುದಾದ ಎರಡು ದೋಷಗಳನ್ನು ಗುರುತಿಸಲಾಗಿದೆ (ಅಧಿಕೃತ crates.io ರೆಪೊಸಿಟರಿಯ ಬಳಕೆದಾರರು ಎಂದು ಹೇಳಲಾಗಿದೆ. ಸಮಸ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿಲ್ಲ). ಮೊದಲ ದುರ್ಬಲತೆ (CVE-2022-36113) ಪ್ರಸ್ತುತ ಅನುಮತಿಗಳು ಅನುಮತಿಸುವವರೆಗೆ ಯಾವುದೇ ಫೈಲ್ನ ಮೊದಲ ಎರಡು ಬೈಟ್ಗಳನ್ನು ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ಎರಡನೇ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-36114) ಡಿಸ್ಕ್ ಜಾಗವನ್ನು ಹೊರಹಾಕಲು ಬಳಸಬಹುದು.
ಸೆಪ್ಟೆಂಬರ್ 1.64 ರಂದು ನಿಗದಿಪಡಿಸಲಾದ ರಸ್ಟ್ 22 ಬಿಡುಗಡೆಯಲ್ಲಿ ದೋಷಗಳನ್ನು ಸರಿಪಡಿಸಲಾಗುತ್ತದೆ. ಅಸೆಂಬ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಅಥವಾ ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಒದಗಿಸಲಾದ ಕಾರ್ಯವಿಧಾನದ ಮ್ಯಾಕ್ರೋಗಳಿಂದ ಕಸ್ಟಮ್ ಹ್ಯಾಂಡ್ಲರ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುವ ಪ್ರಮಾಣಿತ ಸಾಮರ್ಥ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಪರಿಶೀಲಿಸದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಬಳಸುವಾಗ ಇದೇ ರೀತಿಯ ಹಾನಿ ಉಂಟಾಗುವುದರಿಂದ ದುರ್ಬಲತೆಗಳನ್ನು ಕಡಿಮೆ ಮಟ್ಟದ ತೀವ್ರತೆಯನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಮೇಲಿನ-ಸೂಚಿಸಲಾದ ಸಮಸ್ಯೆಗಳು ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ನಂತರ (ಜೋಡಣೆ ಇಲ್ಲದೆ) ಪ್ಯಾಕೇಜ್ ತೆರೆಯುವ ಹಂತದಲ್ಲಿ ಅವುಗಳನ್ನು ಬಳಸಿಕೊಳ್ಳುವಲ್ಲಿ ಭಿನ್ನವಾಗಿರುತ್ತವೆ.
ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ನಂತರ, ಸರಕು ಅದರ ವಿಷಯಗಳನ್ನು ~/.ಕಾರ್ಗೋ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡುತ್ತದೆ ಮತ್ತು .ಕಾರ್ಗೋ-ಓಕೆ ಫೈಲ್ನಲ್ಲಿ ಯಶಸ್ವಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡುವ ಸಂಕೇತವನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ. ಮೊದಲ ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ ಪ್ಯಾಕೇಜ್ನ ಸೃಷ್ಟಿಕರ್ತನು .cargo-ok ಎಂಬ ಹೆಸರಿನೊಂದಿಗೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ಇರಿಸಬಹುದು, ಇದು ಲಿಂಕ್ನಿಂದ ಸೂಚಿಸಲಾದ ಫೈಲ್ಗೆ "ಸರಿ" ಪಠ್ಯವನ್ನು ಬರೆಯಲು ಕಾರಣವಾಗುತ್ತದೆ.
ಆರ್ಕೈವ್ನಿಂದ ಹೊರತೆಗೆಯಲಾದ ಡೇಟಾದ ಗಾತ್ರದ ಮಿತಿಯ ಕೊರತೆಯಿಂದಾಗಿ ಎರಡನೇ ದುರ್ಬಲತೆಯು ಉಂಟಾಗುತ್ತದೆ, ಇದನ್ನು "ಜಿಪ್ ಬಾಂಬ್ಗಳನ್ನು" ರಚಿಸಲು ಬಳಸಬಹುದು (ಆರ್ಕೈವ್ ಜಿಪ್ ಫಾರ್ಮ್ಯಾಟ್ಗಾಗಿ ಗರಿಷ್ಠ ಸಂಕೋಚನ ಅನುಪಾತವನ್ನು ಸಾಧಿಸಲು ಅನುಮತಿಸುವ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಿರಬಹುದು - ಸುಮಾರು 28 ಮಿಲಿಯನ್ ಬಾರಿ, ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಉದಾಹರಣೆಗೆ, ವಿಶೇಷವಾಗಿ ಸಿದ್ಧಪಡಿಸಿದ 10 MB ಜಿಪ್ ಫೈಲ್ ಸರಿಸುಮಾರು 281 TB ಡೇಟಾದ ಡಿಕಂಪ್ರೆಷನ್ಗೆ ಕಾರಣವಾಗುತ್ತದೆ).
ಮೂಲ: opennet.ru