Vulnerabilities in Cargo sarcina procurator usus est ad rubiginem inceptis

Duae vulnerabilitates in "Cargo package manager", qui ad fasciculos administrandos et proiecta Rust construenda adhibetur, inventae sunt. Hae vulnerabilitates per fasciculos specialiter fabricatos ex repositoriis tertiis partibus detrahendos (usores repositorii officialis crates.io non affecti esse dicuntur) expugnari. Prima vulnerabilitas (CVE-2022-36113) permittit ut primi duo octeti cuiuslibet fasciculi superscribantur, sub condicione permissionum praesentium. Secunda vulnerabilitas (CVE-2022-36114) ad spatium disci exhauriendum expugnari potest.

Vulnerabilitates in emissione Rust 1.64, quae pro die XXII Septembris exspectatur, emendabuntur. Hae vulnerabilitates ut parvae gravitatis aestimantur, cum simile damnum per usum fasciculorum non verificatorum ex repositoriis tertiarum partium, facultate innata tractatores ex scriptis constructionis fasciculi provisis vel macros procedurales currendi, causari possit. Attamen, problemata supradicta eo distincta sunt quod tempore expansionis fasciculi post onerationem (sine constructione) exploitantur.

Speciatim, post fasciculum demptum, `cargo` contenta eius in directorium `~/.cargo` extrahit et signum prosperae extractionis in fasciculo `.cargo-ok` servat. Prima vulnerabilitas est quod creator fasciculi nexum symbolicum nomine `.cargo-ok` intra fasciculum ponere potest, quod efficiet ut textus "ok" in fasciculum a nexu indicatum scribatur.

Altera vulnerabilitas ex defectu limitis magnitudinis in datis ex archivo extractis oritur, quae ad "bombas zip" creandas adhiberi possunt (archivum data continere potest quae maximam rationem compressionis pro formato zip consequi possunt β€” circiter 28 miliones vicibus; hoc in casu, exempli gratia, fasciculus zip specialiter praeparatus magnitudinis 10 MB ad explicationem circiter 281 TB datorum duceret).

Source: opennet.ru

Emptum certos hospites pro locis cum praesidio DDoS, VPS VDS servers πŸ”₯ Eme hospitium interretiale fidum cum praesidio DDoS, servitores VPS VDS | ProHoster