ပြင်ပကုမ္ပဏီ သိုလှောင်ရာနေရာများမှ အထူးဒီဇိုင်းထုတ်ထားသော ပက်ကေ့ဂျ်များကို ဒေါင်းလုဒ်လုပ်သည့်အခါ အသုံးချနိုင်သည့် ပက်ကေ့ဂျ်များကို စီမံခန့်ခွဲရန်နှင့် တည်ဆောက်ရန် Rust ဘာသာစကားဖြင့် တည်ဆောက်ရန် အသုံးပြုသည့် Cargo ပက်ကေ့ဂျ်မန်နေဂျာတွင် အားနည်းချက်နှစ်ခုကို ဖော်ထုတ်တွေ့ရှိထားသည်။ io repository သည် ပြဿနာကြောင့် မထိခိုက်ပါ။) လက်ရှိခွင့်ပြုချက်များခွင့်ပြုထားသရွေ့ ပထမဆုံးသောအားနည်းချက် (CVE-2022-36113) သည် မည်သည့်ဖိုင်တွင်မဆို ပထမဘိုက်နှစ်ဘိုက်ကို ထပ်ရေးခွင့်ပြုသည်။ ဒုတိယ အားနည်းချက် (CVE-2022-36114) ကို အလွတ် disk space တွင် အသုံးချနိုင်သည်။
စက်တင်ဘာလ 1.64 ရက်နေ့တွင် စီစဉ်ထားသော Rust 22 ထုတ်ဝေမှုတွင် အားနည်းချက်များကို ပြုပြင်သွားမည်ဖြစ်သည်။ အားနည်းချက်များကို ပြင်ပနေရာ သိုလှောင်ရာနေရာများမှ အတည်မပြုရသေးသော ပက်ကေ့ဂျ်များကို အသုံးပြုသည့်အခါ အလားတူ ပျက်စီးမှုများသည် ထုပ်ပိုးမှုဆိုင်ရာ Script များ သို့မဟုတ် ပက်ကေ့ချ်တွင် ပံ့ပိုးပေးထားသည့် လုပ်ထုံးလုပ်နည်း မက်ခရိုများမှ ၎င်းတို့၏ ကိုင်တွယ်သူများကို စံနှုန်းဖြင့် လုပ်ဆောင်နိုင်ခြင်းကြောင့် အားနည်းချက်များကို ပြင်းထန်မှုအဆင့်နိမ့်အဖြစ် သတ်မှတ်ထားသည်။ တစ်ချိန်တည်းမှာပင်၊ အထက်ဖော်ပြပါပြဿနာများသည် ၎င်းတို့လုပ်ဆောင်မှုကို တင်ဆောင်ပြီးနောက် (တပ်ဆင်မှုမရှိဘဲ) အထုပ်ကိုဖွင့်ပြီးနောက် ၎င်းတို့၏လုပ်ဆောင်ချက်ကို လုပ်ဆောင်သည့်အဆင့်တွင် ကွဲပြားသည်။
အထူးသဖြင့်၊ ပက်ကေ့ခ်ျတစ်ခုကို တင်ပြီးနောက်၊ ကုန်စည်သည် ၎င်း၏အကြောင်းအရာများကို ~/.cargo directory ထဲသို့ ထုပ်ပိုးပြီး .cargo-ok ဖိုင်တွင် အောင်မြင်စွာထုပ်ပိုးခြင်း၏ လက္ခဏာကို သိမ်းဆည်းသည်။ ပထမအားနည်းချက်၏ အနှစ်သာရမှာ ပက်ကေ့ဂျ်ဖန်တီးသူက .cargo-ok အမည်ဖြင့် သင်္ကေတလင့်ခ်တစ်ခုကို လင့်ခ်မှညွှန်ပြသည့်ဖိုင်တွင် “ok” ဟူသော စာသားကို ရေးသားနိုင်စေမည်ဖြစ်သည်။
ဒုတိယအားနည်းချက်မှာ "ဇစ်ဗုံးများ" ဖန်တီးရန် အသုံးပြုနိုင်သည့် မော်ကွန်းမှ ထုတ်ယူထားသော ဒေတာအရွယ်အစားအပေါ် ကန့်သတ်ချက်မရှိခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည် (ဇစ်ဖော်မတ်အတွက် အမြင့်ဆုံးချုံ့မှုအချိုးကို ရရှိရန် ဒေတာကို မော်ကွန်းတွင် ထားရှိနိုင်ပါသည်။ အကြိမ်ပေါင်း 28 သန်းခန့်၊ ဥပမာ၊ အထူးပြင်ဆင်ထားသော 10 MB ဇစ်ဖိုင်သည် ဒေတာ 281 TB ခန့်ကို ထုပ်ပိုးလိုက်ပါမည်။)
source: opennet.ru