Katika kidhibiti kifurushi cha Mizigo, kinachotumika kudhibiti vifurushi na kujenga miradi katika lugha ya Rust, udhaifu mbili umetambuliwa ambao unaweza kutumiwa wakati wa kupakua vifurushi vilivyoundwa mahsusi kutoka kwa hazina za wahusika wengine (imeelezwa kuwa watumiaji wa hazina rasmi ya crates.io haziathiriwi na shida). Athari ya kwanza (CVE-2022-36113) huruhusu baiti mbili za kwanza za faili yoyote kufutwa mradi tu ruhusa za sasa ziruhusu. Athari ya pili (CVE-2022-36114) inaweza kutumika kumaliza nafasi ya diski.
Athari za kiusalama zitarekebishwa katika toleo la Rust 1.64, lililopangwa kufanyika Septemba 22. Udhaifu hupewa kiwango cha chini cha ukali, kwa kuwa madhara sawa yanaweza kusababishwa unapotumia vifurushi ambavyo havijathibitishwa kutoka hazina za wahusika wengine kwa kutumia uwezo wa kawaida wa kuzindua vidhibiti maalum kutoka kwa hati za mkusanyiko au makro za kiutaratibu zinazotolewa kwenye kifurushi. Wakati huo huo, matatizo yaliyotajwa hapo juu yanatofautiana kwa kuwa yanatumiwa katika hatua ya kufungua mfuko baada ya kupakua (bila mkusanyiko).
Hasa, baada ya kupakua kifurushi, shehena hupakua yaliyomo kwenye saraka ya ~/.cargo na huhifadhi ishara ya upakuaji uliofaulu katika faili ya .cargo-ok. Kiini cha athari ya kwanza ni kwamba mtengenezaji wa kifurushi anaweza kuweka kiungo cha mfano ndani na jina .cargo-ok, ambayo itasababisha kuandika maandishi "sawa" kwenye faili iliyoelekezwa na kiungo.
Athari ya pili inasababishwa na ukosefu wa kikomo kwa saizi ya data iliyotolewa kutoka kwa kumbukumbu, ambayo inaweza kutumika kuunda "mabomu ya zip" (kumbukumbu inaweza kuwa na data ambayo inaruhusu kufikia uwiano wa juu wa ukandamizaji wa umbizo la zip - kuhusu Mara milioni 28, katika kesi hii, kwa mfano, faili ya zip iliyoandaliwa maalum ya 10 MB itasababisha mtengano wa takriban 281 TB ya data).
Chanzo: opennet.ru