Di rêveberê pakêtê Cargo de, ku ji bo birêvebirina pakêtan û avakirina projeyan bi zimanê Rust tê bikar anîn, du qelsî hatine nas kirin ku dema ku pakêtên taybetî yên sêwirandî ji depoyên sêyemîn dakêşin dikarin werin bikar anîn (tê gotin ku bikarhênerên depoya fermî crates.io ji pirsgirêkê bandor nabin). Zehfiya yekem (CVE-2022-36113) dihêle ku du baytên pêşîn ên her pelê werin nivîsandin heya ku destûrên heyî destûrê didin. Zehfiya duyemîn (CVE-2022-36114) dikare were bikar anîn da ku cîhê dîskê derxîne.
Di serbestberdana Rust 1.64 de, ku ji bo 22-ê Îlonê hatî plansaz kirin, dê qelsî werin sererast kirin. Qelsiyan astek nizm ji giraniyê têne destnîşan kirin, ji ber ku zirarek bi vî rengî dema ku pakêtên nerastkirî yên ji depoyên sêyemîn bikar tînin dikare bi karanîna kapasîteya standard a destpêkirina destanên xwerû ji nivîsarên meclîsê an makroyên prosedurê yên ku di pakêtê de têne peyda kirin çêbibe. Di heman demê de, pirsgirêkên jorîn ji hev cûda ne ku ew di qonaxa vekirina pakêtê de piştî dakêşandinê (bêyî kombûnê) têne bikar anîn.
Bi taybetî, piştî daxistina pakêtekê, kargo naveroka xwe di pelrêça ~/.cargo de vedike û nîşana vekêşana serketî di pelê .cargo-ok de hilîne. Esasê qelsiya yekem ev e ku afirînerê pakêtê dikare têkiliyek sembolîk bi navê .cargo-ok di hundurê de bi cih bike, ku dê bibe sedema nivîsandina nivîsa "ok" li pelê ku ji hêla girêdanê ve hatî destnîşan kirin.
Zehfiya duyemîn ji ber nebûna sînorek li ser mezinahiya daneyên ku ji arşîvê hatine derxistin, ku dikare were bikar anîn ji bo afirandina "bombeyên zip" pêk tê (arşîv dikare daneyên ku destûrê dide gihîştina rêjeya herî zêde ya berhevkirinê ya ji bo formata zip-ê - der barê 28 mîlyon carî, di vê rewşê de, mînakî, pelek zip a 10 MB ya taybetî amadekirî dê bibe sedema hilweşandina 281 TB daneyê).
Source: opennet.ru