د کارګو بسته مدیر کې، د کڅوړو اداره کولو او د زنګ په ژبه کې د پروژو جوړولو لپاره کارول کیږي، دوه زیانمنونکي پیژندل شوي چې د دریمې ډلې ذخیره کولو څخه د ځانګړي ډیزاین شوي کڅوړو ډاونلوډ کولو په وخت کې ګټه اخیستل کیدی شي) دا ویل شوي چې د رسمي crates.io ذخیره کاروونکي له ستونزې نه متاثره کیږي). لومړی زیانمنتیا (CVE-2022-36113) د هرې فایل لومړي دوه بایټس ته اجازه ورکوي تر هغه چې اوسني اجازې اجازه ورکړي. دویمه زیانمننه (CVE-2022-36114) د ډیسک ځای پاکولو لپاره کارول کیدی شي.
زیانونه به د Rust 1.64 په خوشې کولو کې تنظیم شي، د سپتمبر 22 لپاره ټاکل شوي. زیانمنتیاوې د ټیټې کچې شدت ټاکل شوي، ځکه چې ورته زیان رامینځته کیدی شي کله چې د دریمې ډلې ذخیره کولو څخه غیر تصدیق شوي کڅوړې کارول د اسمبلۍ سکریپټونو یا په کڅوړه کې چمتو شوي پروسیژر میکرو څخه د ګمرکي هینډلرونو لانچ کولو معیاري وړتیا په کارولو سره. په ورته وخت کې ، پورته ذکر شوي ستونزې پدې کې توپیر لري چې دوی د ډاونلوډ کولو وروسته د کڅوړې خلاصولو په مرحله کې کارول کیږي (پرته له مجلس).
په ځانګړې توګه، د کڅوړې ډاونلوډ کولو وروسته، کارګو خپل محتويات په ~/.cargo ډایرکټر کې خلاصوي او په .cargo-ok فایل کې د بریالي خلاصولو نښه ذخیره کوي. د لومړي زیانمننې جوهر دا دی چې د کڅوړې جوړونکی کولی شي سمبولیک لینک دننه د .cargo-ok نوم سره ځای په ځای کړي ، کوم چې به د لینک لخوا په ګوته شوي فایل ته د "OK" متن لیکلو لامل شي.
دوهم زیان د آرشیف څخه ایستل شوي ډیټا اندازه کې د محدودیت نشتوالي له امله رامینځته کیږي ، کوم چې د "زپ بمونو" رامینځته کولو لپاره کارول کیدی شي (آرشیف کولی شي ډیټا ولري چې د زپ فارمیټ لپاره د اعظمي کمپریشن تناسب ترلاسه کولو ته اجازه ورکوي - په اړه 28 ملیون ځله، پدې حالت کې، د بیلګې په توګه، په ځانګړې توګه چمتو شوي 10 MB زپ فایل به د نږدې 281 TB ډیټا ډیکمپریشن پایله ولري).
سرچینه: opennet.ru