භාණ්ඩ ප්රවාහන පැකේජ කළමනාකරු තුළ අවදානම් දෙකක් සොයාගෙන ඇති අතර, ඒවා පැකේජ කළමනාකරණය කිරීමට සහ මලකඩ ව්යාපෘති ගොඩනැගීමට භාවිතා කරයි. තෙවන පාර්ශවීය ගබඩාවලින් විශේෂයෙන් සකස් කරන ලද පැකේජ බාගත කිරීමෙන් මෙම අවදානම් උපයෝගී කර ගත හැකිය (නිල crates.io ගබඩාවේ පරිශීලකයින්ට බලපෑමක් නැතැයි කියනු ලැබේ). පළමු අවදානම (CVE-2022-36113) වත්මන් අවසරයන්ට යටත්ව ඕනෑම ගොනුවක පළමු බයිට් දෙක නැවත ලිවීමට ඉඩ සලසයි. දෙවන අවදානම (CVE-2022-36114) තැටි අවකාශය අවසන් කිරීම සඳහා උපයෝගී කර ගත හැකිය.
සැප්තැම්බර් 22 වන දිනට නියමිත රස්ට් 1.64 නිකුතුවේදී අවදානම් නිවැරදි කරනු ලැබේ. මෙම අවදානම් අඩු බරපතලකමක් ලෙස ශ්රේණිගත කර ඇත, මන්ද පැකේජ සපයන ලද ගොඩනැගීමේ ස්ක්රිප්ට් හෝ ක්රියා පටිපාටිමය මැක්රෝ වලින් හසුරුවන්නන් ක්රියාත්මක කිරීමේ බිල්ට් හැකියාව භාවිතා කරමින් තෙවන පාර්ශවීය ගබඩාවලින් සත්යාපනය නොකළ පැකේජ භාවිතා කිරීමෙන් සමාන හානියක් සිදුවිය හැකිය. කෙසේ වෙතත්, ඉහත සඳහන් ගැටළු වෙනස් වන්නේ ඒවා පැටවීමෙන් පසු (ගොඩනැගිල්ලකින් තොරව) පැකේජ ප්රසාරණ අවධියේදී සූරාකෑමට ලක්වන බැවිනි.
විශේෂයෙන්, පැකේජයක් බාගත කිරීමෙන් පසු, cargo එහි අන්තර්ගතය ~/.cargo නාමාවලියට මුදා හරින අතර .cargo-ok ගොනුවේ සාර්ථක unpacking ධජයක් සුරකියි. පළමු අවදානම නම්, පැකේජ නිර්මාපකයාට පැකේජය තුළ .cargo-ok නම් සංකේතාත්මක සබැඳියක් තැබිය හැකි අතර, එමඟින් සබැඳිය මඟින් පෙන්වා ඇති ගොනුවට "ok" පෙළ ලිවීමට සිදුවේ.
දෙවන අවදානමට හේතුව ලේඛනාගාරයෙන් උපුටා ගන්නා ලද දත්තවල ප්රමාණයේ සීමාවක් නොමැතිකමයි, එය "zip බෝම්බ" නිර්මාණය කිරීමට භාවිතා කළ හැකිය (සංරක්ෂිතයේ zip ආකෘතිය සඳහා උපරිම සම්පීඩන අනුපාතය ලබා ගත හැකි දත්ත අඩංගු විය හැකිය - ආසන්න වශයෙන් මිලියන 28 වාරයක්; මෙම අවස්ථාවේදී, උදාහරණයක් ලෙස, 10 MB ප්රමාණයේ විශේෂයෙන් සකස් කරන ලද zip ගොනුවක් දළ වශයෙන් 281 TB දත්ත ඇසුරුම් කිරීමට හේතු වේ).
මූලාශ්රය: opennet.ru
