Ao amin'ny mpitantana fonosana Cargo, ampiasaina amin'ny fitantanana ny fonosana sy ny fananganana tetikasa amin'ny fiteny Rust, dia fantatra ny vulnerabilities roa izay azo trandrahana rehefa misintona fonosana namboarina manokana avy amin'ny tranokalan'ny antoko fahatelo (lazaina fa ireo mpampiasa ny tranokala ofisialy crates.io tsy misy fiantraikany amin'ny olana). Ny vulnerability voalohany (CVE-2022-36113) dia mamela ny roa byte voalohany amin'ny rakitra rehetra hosoloina raha mbola mamela ny fahazoan-dΓ lana ankehitriny. Ny vulnerability faharoa (CVE-2022-36114) dia azo ampiasaina hanesorana ny habaka kapila.
Ny vulnerabilities dia ho raikitra amin'ny famoahana ny Rust 1.64, voatondro ho an'ny 22 septambra. Ny vulnerabilities dia omena amin'ny haavo ambany, satria mety hisy fahavoazana mitovy amin'izany rehefa mampiasa fonosana tsy voamarina avy amin'ny tranokalan'ny antoko fahatelo amin'ny fampiasana ny fahaiza-manao mahazatra amin'ny famoahana ireo mpandrindra mahazatra avy amin'ny sora-baventy na ny macros procedural atolotra ao anaty fonosana. Mandritra izany fotoana izany, ireo olana voalaza etsy ambony ireo dia tsy mitovy amin'ny fampiasana azy ireo amin'ny dingana fanokafana ny fonosana rehefa avy misintona (tsy misy fivoriambe).
Indrindra indrindra, aorian'ny fampidinana fonosana iray, ny entana dia mamoaka ny ao anatiny ao amin'ny ~/.cargo lahatahiry ary mitahiry mariky ny famongorana mahomby ao amin'ny rakitra .cargo-ok. Ny fototry ny vulnerability voalohany dia ny hoe ny mpamorona fonosana dia afaka mametraka rohy an'ohatra ao anatiny miaraka amin'ny anarana .cargo-ok, izay hitarika amin'ny fanoratana ny lahatsoratra "ok" amin'ny rakitra tondroin'ny rohy.
Ny vulnerability faharoa dia vokatry ny tsy fisian'ny fetra amin'ny haben'ny angon-drakitra nalaina tao amin'ny arisiva, izay azo ampiasaina hamoronana "zip bombs" (ny arisiva dia afaka mirakitra angon-drakitra izay ahafahana manatratra ny tahan'ny famatrarana ambony indrindra ho an'ny format zip - eo ho eo In-28 tapitrisa, amin'ity tranga ity, ohatra, ny rakitra zip 10 MB voaomana manokana dia hiteraka famotehana ny angon-drakitra 281 TB).
Source: opennet.ru