Laba dayacan ayaa lagu aqoonsaday maareeyaha xirmada xamuulka, kaas oo loo isticmaalo in lagu maareeyo xirmooyinka iyo dhisidda mashaariicda luqadda Rust, taas oo laga faa'iidaysan karo marka laga soo dejiyo baakado si gaar ah loo qorsheeyay oo laga soo dejiyo kaydka qolo saddexaad (waxaa lagu eedeeyay isticmaaleyaasha sanduuqyada rasmiga ah. io repository ma saameyn dhibaatadu). Nuglaanta koowaad (CVE-2022-36113) waxay ogolaataa in labada bytes ee ugu horreeya lagu beddelo fayl kasta, ilaa iyo inta oggolaanshaha hadda la oggol yahay. Nuglaanta labaad (CVE-2022-36114) waxa laga faa'iidaysan karaa in lagu daalo meel diskeedka bilaashka ah.
Nuglaanta waxaa lagu hagaajin doonaa siideynta Rust 1.64, oo loo qorsheeyay Sebtembar 22. Nuglaanta waxaa loo qoondeeyey heer hoose oo darnaan, maadaama waxyeelo la mid ah marka la isticmaalayo baakadaha aan la xaqiijin ee kaydka qolo saddexaad ay sababi karto awoodda caadiga ah ee ay ku maamuli karaan maamulayaashooda qoraallada dhismaha ama maroosyada habraaca ee lagu bixiyo xirmada. Isla mar ahaantaana, dhibaatooyinka kor ku xusan waxay ku kala duwan yihiin in hawlgalkooda lagu fuliyo marxaladda furitaanka xirmada ka dib marka la soo dhejiyo (la'aan la'aan).
Gaar ahaan, ka dib marka la raro xirmo, xamuulku waxa uu ka soo daayaa waxa ku jira ~/. tusaha xamuulka oo waxa uu kaydiyaa calaamad muujinaysa in lagu guulaysto baakadda .cargo-ok. Nuxurka nuglaanshaha ugu horreeya waa in abuuraha xirmada uu ku dhejin karo xiriiriye calaamad ah gudaha gudaha magaca .cargo-ok, taas oo u horseedi doonta qorista qoraalka "ok" faylka lagu tilmaamay xiriirka.
Nuglaanta labaad waxaa sababa xaddidaad la'aanta cabbirka xogta laga soo saaray kaydka, taas oo loo isticmaali karo in lagu abuuro "bumbooyinka zip" (xogta waxaa lagu dhejin karaa kaydka si loo gaaro saamiga ugu sarreeya ee qaabka zip - qiyaastii 28 milyan oo jeer, kiiskan, tusaale ahaan, 10 MB zip file si gaar ah loo diyaariyey ayaa soo furi doona ilaa 281 TB oo xog ah).
Source: opennet.ru