ڪارگو پيڪيج مئنيجر ۾، پيڪيجز کي منظم ڪرڻ ۽ زنگ جي ٻولي ۾ منصوبن کي تعمير ڪرڻ لاء استعمال ڪيو ويو آهي، ٻن خطرن جي نشاندهي ڪئي وئي آهي جيڪي استعمال ڪري سگهجن ٿيون جڏهن خاص طور تي ڊزائين ڪيل پيڪيجز کي ٽئين پارٽي جي ذخيرن مان ڊائون لوڊ ڪري رهيا آهن (اهو ٻڌايو ويو آهي ته استعمال ڪندڙ سرڪاري crates.io repository. مسئلو کان متاثر نه آهن). پهريون نقصان (CVE-2022-36113) ڪنهن به فائل جي پهرين ٻن بائيٽ کي اوور رائٽ ڪرڻ جي اجازت ڏئي ٿو جيستائين موجوده اجازتون اجازت ڏين ٿيون. ٻيو نقصان (CVE-2022-36114) ڊسڪ اسپيس کي ختم ڪرڻ لاءِ استعمال ڪري سگھجي ٿو.
رست 1.64 جي رليز ۾ ڪمزورين کي مقرر ڪيو ويندو، سيپٽمبر 22 تي مقرر ڪيل. ڪمزورين کي گهٽ سطح جي شدت سان لڳايو ويو آهي، ڇاڪاڻ ته ساڳيو نقصان ٿي سگهي ٿو جڏهن ٽئين پارٽي جي ذخيرن مان غير تصديق ٿيل پيڪيجز استعمال ڪندي اسمبلي اسڪرپٽ مان ڪسٽم هينڊلر لانچ ڪرڻ جي معياري صلاحيت استعمال ڪندي يا پيڪيج ۾ فراهم ڪيل طريقيڪار ميڪرو. ساڳئي وقت، مٿي ذڪر ڪيل مسئلا ان ۾ مختلف آهن ته اهي ڊائون لوڊ ڪرڻ کان پوء پيڪيج کولڻ جي مرحلي ۾ استحصال ڪيا ويا آهن (بغير اسيمبليء جي).
خاص طور تي، پيڪيج ڊائون لوڊ ڪرڻ کان پوءِ، ڪارگو ان جي مواد کي ~/.cargo ڊاريڪٽري ۾ پيڪ ڪري ٿو ۽ .cargo-ok فائل ۾ ڪامياب انپيڪنگ جي نشاني محفوظ ڪري ٿو. پهرين نقصان جو خلاصو اهو آهي ته پيڪيج ٺاهيندڙ هڪ علامتي لنڪ اندر رکي سگهي ٿو .cargo-ok جي نالي سان، جيڪو لکندو "OK" کي لکت ڏانهن اشارو ڪندي فائل ڏانهن.
ٻيو نقصان آرڪائيو مان ڪڍيل ڊيٽا جي سائيز تي حد جي کوٽ جي ڪري پيدا ٿئي ٿو، جيڪو "زپ بم" ٺاهڻ لاء استعمال ڪري سگهجي ٿو (آرڪائيو ڊيٽا تي مشتمل ٿي سگهي ٿو جيڪا زپ فارميٽ لاء وڌ کان وڌ کمپريشن تناسب حاصل ڪرڻ جي اجازت ڏئي ٿي - اٽڪل 28 ملين ڀيرا، هن صورت ۾، مثال طور، خاص طور تي تيار ڪيل 10 MB زپ فائل جي نتيجي ۾ لڳ ڀڳ 281 TB ڊيٽا جي ڊمپپريشن ٿيندي).
جو ذريعو: opennet.ru