Rust 프로젝트에 사용되는 Cargo 패키지 관리자의 취약점

Rust 언어로 패키지를 관리하고 프로젝트를 빌드하는 데 사용되는 Cargo 패키지 관리자에서 타사 저장소에서 특별히 설계된 패키지를 다운로드할 때 악용될 수 있는 두 가지 취약점이 확인되었습니다(공식 crates.io 저장소 사용자는 문제의 영향을 받지 않습니다.) 첫 번째 취약점(CVE-2022-36113)은 현재 권한이 허용하는 한 모든 파일의 처음 2022바이트를 덮어쓸 수 있도록 허용합니다. 두 번째 취약점(CVE-36114-XNUMX)은 디스크 공간을 고갈시키는 데 사용될 수 있습니다.

이 취약점은 1.64월 22일로 예정된 Rust XNUMX 릴리스에서 수정될 예정입니다. 패키지에 제공된 어셈블리 스크립트 또는 절차 매크로에서 사용자 지정 처리기를 시작하는 표준 기능을 사용하여 타사 저장소에서 확인되지 않은 패키지를 사용할 때 유사한 피해가 발생할 수 있으므로 취약점에는 낮은 수준의 심각도가 할당됩니다. 동시에 위에서 언급한 문제는 다운로드 후(조립 없이) 패키지를 여는 단계에서 악용된다는 점에서 다릅니다.

특히, 패키지를 다운로드한 후 화물은 해당 내용을 ~/.cargo 디렉터리에 압축을 풀고 성공적인 압축 풀기 신호를 .cargo-ok 파일에 저장합니다. 첫 번째 취약점의 본질은 패키지 작성자가 내부에 .cargo-ok라는 이름의 심볼릭 링크를 배치할 수 있다는 것입니다. 그러면 링크가 가리키는 파일에 "ok"라는 텍스트가 쓰이게 됩니다.

두 번째 취약점은 "zip 폭탄"을 생성하는 데 사용할 수 있는 아카이브에서 추출된 데이터 크기에 대한 제한이 없기 때문에 발생합니다(아카이브에는 zip 형식의 최대 압축 비율을 달성할 수 있는 데이터가 포함될 수 있음). 28만 번, 이 경우 특별히 준비된 10MB zip 파일은 약 281TB의 데이터 압축을 해제합니다.

출처 : opennet.ru