Në menaxherin e paketave Cargo, i përdorur për të menaxhuar paketat dhe për të ndërtuar projekte në gjuhën Rust, janë identifikuar dy dobësi që mund të shfrytëzohen kur shkarkohen paketa të projektuara posaçërisht nga depot e palëve të treta (thuhet se përdoruesit e depove zyrtare crates.io nuk preken nga problemi). Dobësia e parë (CVE-2022-36113) lejon që dy bajtët e parë të çdo skedari të mbishkruhen për aq kohë sa lejojnë lejet aktuale. Dobësia e dytë (CVE-2022-36114) mund të përdoret për të shterur hapësirën në disk.
Dobësitë do të rregullohen në lëshimin e Rust 1.64, të planifikuar për 22 shtator. Dobësive u caktohet një nivel i ulët i ashpërsisë, pasi një dëm i ngjashëm mund të shkaktohet kur përdoren paketa të paverifikuara nga depo të palëve të treta duke përdorur aftësinë standarde për të nisur mbajtësit e personalizuar nga skriptet e montimit ose makrot procedurale të ofruara në paketë. Në të njëjtën kohë, problemet e lartpërmendura ndryshojnë në atë që ato shfrytëzohen në fazën e hapjes së paketës pas shkarkimit (pa montim).
Në veçanti, pas shkarkimit të një pakete, ngarkesa shpaketon përmbajtjen e saj në direktorinë ~/.cargo dhe ruan një shenjë të shpaketimit të suksesshëm në skedarin .cargo-ok. Thelbi i cenueshmërisë së parë është se krijuesi i paketës mund të vendosë një lidhje simbolike brenda me emrin .cargo-ok, e cila do të çojë në shkrimin e tekstit "ok" në skedarin e treguar nga lidhja.
Dobësia e dytë është shkaktuar nga mungesa e një kufiri në madhësinë e të dhënave të nxjerra nga arkivi, të cilat mund të përdoren për të krijuar "bomba zip" (arkivi mund të përmbajë të dhëna që lejojnë arritjen e raportit maksimal të kompresimit për formatin zip - rreth 28 milionë herë, në këtë rast, për shembull, një skedar zip i përgatitur posaçërisht 10 MB do të rezultojë në dekompresimin e afërsisht 281 TB të të dhënave).
Burimi: opennet.ru