Во менаџерот на пакети Cargo, кој се користи за управување со пакети и изградба на проекти на јазикот Rust, идентификувани се две пропусти кои можат да се искористат при преземање специјално дизајнирани пакети од складишта од трети страни (се наведува дека корисниците на официјалното складиште crates.io не се засегнати од проблемот). Првата ранливост (CVE-2022-36113) дозволува првите два бајта од која било датотека да се пребришат сè додека дозволуваат тековните дозволи. Втората ранливост (CVE-2022-36114) може да се користи за исцрпување на просторот на дискот.
Ранливостите ќе бидат поправени во изданието на Rust 1.64, закажано за 22 септември. На ранливостите им е доделено ниско ниво на сериозност, бидејќи слична штета може да се предизвика при користење на непроверени пакети од складишта од трети страни користејќи ја стандардната способност за стартување на сопствени ракувачи од скрипти за склопување или процедурални макроа обезбедени во пакетот. Во исто време, горенаведените проблеми се разликуваат по тоа што се експлоатираат во фазата на отворање на пакетот по преземањето (без склопување).
Особено, по преземањето на пакетот, товарот ја отпакува својата содржина во директориумот ~/.cargo и складира знак за успешно распакување во датотеката .cargo-ok. Суштината на првата ранливост е дека создавачот на пакетот може да постави симболична врска внатре со името .cargo-ok, што ќе доведе до пишување на текстот „ok“ во датотеката на која е посочена врската.
Втората ранливост е предизвикана од недостатокот на ограничување на големината на податоците извлечени од архивата, што може да се користи за создавање „zip-бомби“ (архивата може да содржи податоци што овозможуваат постигнување на максимален сооднос на компресија за zip-формат - околу 28 милиони пати, во овој случај, на пример, специјално подготвена zip-датотека од 10 MB ќе резултира со декомпресија на приближно 281 TB податоци).
Извор: opennet.ru
