Am Cargo Package Manager, benotzt fir Packagen ze verwalten a Projeten an der Rust Sprooch ze bauen, goufen zwee Schwachstelle identifizéiert, déi ausgenotzt kënne ginn wann Dir speziell entworf Pakete vun Drëtt Partei Repositories eroflueden (et gëtt uginn datt d'Benotzer vum offiziellen crates.io Repository) sinn net vum Problem betraff). Déi éischt Schwachstelle (CVE-2022-36113) erlaabt datt déi éischt zwee Bytes vun all Datei iwwerschriwwe ginn soulaang déi aktuell Permissiounen et erlaben. Déi zweet Schwachstelle (CVE-2022-36114) kann benotzt ginn fir Disk Space auszebauen.
D'Schwieregkeeten ginn an der Verëffentlechung vum Rust 1.64 fixéiert, geplangt fir den 22. September. D'Schwieregkeeten ginn e gerénge Schwieregkeetsniveau zougewisen, well ähnleche Schued ka verursaacht ginn wann Dir onverifizéierte Pakete vun Drëtt-Partei-Repositories benotzt mat der Standardfäegkeet fir personaliséiert Handler aus Versammlungsskripter oder prozedurale Makroen, déi am Package geliwwert ginn, ze starten. Zur selwechter Zäit ënnerscheede sech déi uewe genannte Probleemer an datt se an der Bühn vun der Ouverture vum Package nom Download (ouni Montage) exploitéiert ginn.
Besonnesch, nodeems Dir e Package erofgelueden hutt, packt d'Cargo säin Inhalt an de ~/.cargo Verzeechnes a späichert en Zeechen vun der erfollegräicher Auspackung an der .cargo-ok Datei. D'Essenz vun der éischter Schwachstelle ass datt de Package Creator e symbolesche Link bannen mat dem Numm .cargo-ok ka placéieren, wat dozou féiert datt den Text "ok" op d'Datei, déi vum Link bezeechent gëtt, schreift.
Déi zweet Schwachstelle gëtt verursaacht duerch de Mangel un enger Limit fir d'Gréisst vun den Daten aus dem Archiv extrahéiert, déi benotzt kënne ginn fir "Zipbommen" ze kreéieren (d'Archiv kann Daten enthalen, déi et erméiglecht de maximalen Kompressiounsverhältnis fir den Zip-Format z'erreechen - ongeféier 28 Millioune Mol, an dësem Fall, zum Beispill, eng speziell virbereet 10 MB Zip-Datei wäert zu der Dekompressioun vun ongeféier 281 TB vun Daten féieren).
Source: opennet.ru