Dina manajer pakét Cargo, dipaké pikeun ngatur bungkusan sareng ngawangun proyék dina basa Rust, dua kerentanan parantos diidentifikasi anu tiasa dimanfaatkeun nalika ngaunduh bungkusan anu dirarancang khusus tina repositori pihak katilu (dinyatakan yén pangguna tina gudang resmi crates.io. teu kapangaruhan ku masalah). Kerentanan munggaran (CVE-2022-36113) ngamungkinkeun dua bait mimiti file mana waé tiasa ditimpa salami idin ayeuna. Kerentanan kadua (CVE-2022-36114) tiasa dianggo pikeun ngaleungitkeun rohangan disk.
Kerentanan bakal dibenerkeun dina sékrési Rust 1.64, dijadwalkeun pikeun 22 Séptémber. Kerentanan ditugaskeun tingkat parah anu rendah, sabab cilaka anu sami tiasa disababkeun nalika nganggo bungkusan anu teu diverifikasi ti repositori pihak katilu nganggo kamampuan standar pikeun ngaluncurkeun panangan khusus tina naskah rakitan atanapi makro prosedural anu disayogikeun dina bungkusan. Dina waktos anu sami, masalah anu disebatkeun di luhur béda-béda sabab dieksploitasi dina tahap muka bungkusan saatos diunduh (tanpa assembly).
Khususna, saatos ngaunduh pakét, kargo ngabongkar eusina kana diréktori ~/.cargo sareng nyimpen tanda suksés ngabongkar dina file .cargo-ok. Intina tina kerentanan kahiji nyaéta yén panyipta pakét tiasa nempatkeun tautan simbolis di jero kalayan nami .cargo-ok, anu bakal ngakibatkeun nyerat téks "ok" kana file anu ditunjuk ku tautan.
Kerentanan kadua disababkeun ku kurangna wates dina ukuran data anu sasari tina arsip, anu tiasa dianggo pikeun nyiptakeun "bom pos" (arsip tiasa ngandung data anu ngamungkinkeun pikeun ngahontal rasio komprési maksimal pikeun format pos - kira-kira. 28 juta kali, dina hal ieu, contona, hiji husus disusun 10 MB file pos bakal ngakibatkeun decompression ngeunaan 281 TB data).
sumber: opennet.ru