கார்கோ பேக்கேஜ் மேனேஜரில், பேக்கேஜ்களை நிர்வகிக்கவும், ரஸ்ட் மொழியில் திட்டங்களை உருவாக்கவும் பயன்படுத்தப்படும், மூன்றாம் தரப்பு களஞ்சியங்களிலிருந்து சிறப்பாக வடிவமைக்கப்பட்ட தொகுப்புகளைப் பதிவிறக்கும் போது பயன்படுத்தக்கூடிய இரண்டு பாதிப்புகள் கண்டறியப்பட்டுள்ளன (அதிகாரப்பூர்வ crates.io களஞ்சியத்தைப் பயன்படுத்துபவர்கள் என்று கூறப்படுகிறது. பிரச்சனையால் பாதிக்கப்படவில்லை). முதல் பாதிப்பு (CVE-2022-36113) தற்போதைய அனுமதிகள் அனுமதிக்கும் வரை எந்த கோப்பின் முதல் இரண்டு பைட்டுகளையும் மேலெழுத அனுமதிக்கிறது. இரண்டாவது பாதிப்பு (CVE-2022-36114) வட்டு இடத்தை வெளியேற்ற பயன்படுத்தப்படலாம்.
செப்டம்பர் 1.64 அன்று திட்டமிடப்பட்ட ரஸ்ட் 22 வெளியீட்டில் பாதிப்புகள் சரி செய்யப்படும். மூன்றாம் தரப்பு களஞ்சியங்களிலிருந்து சரிபார்க்கப்படாத பேக்கேஜ்களைப் பயன்படுத்தும் போது ஏற்படும் பாதிப்புகள், அசெம்பிளி ஸ்கிரிப்ட்கள் அல்லது தொகுப்பில் வழங்கப்பட்ட நடைமுறை மேக்ரோக்களிலிருந்து தனிப்பயன் ஹேண்ட்லர்களைத் தொடங்குவதற்கான நிலையான திறனைப் பயன்படுத்தி ஏற்படும் என்பதால், பாதிப்புகள் குறைந்த அளவிலான தீவிரத்தன்மையை ஒதுக்குகின்றன. அதே நேரத்தில், மேலே குறிப்பிடப்பட்ட சிக்கல்கள் வேறுபடுகின்றன, அவை பதிவிறக்கிய பிறகு (அசெம்பிளி இல்லாமல்) தொகுப்பைத் திறக்கும் கட்டத்தில் பயன்படுத்தப்படுகின்றன.
குறிப்பாக, ஒரு தொகுப்பைப் பதிவிறக்கிய பிறகு, சரக்கு அதன் உள்ளடக்கங்களை ~/.கார்கோ கோப்பகத்தில் அவிழ்த்து, .cargo-ok கோப்பில் வெற்றிகரமாகத் திறக்கப்பட்டதற்கான அடையாளத்தை சேமிக்கிறது. முதல் பாதிப்பின் சாராம்சம் என்னவென்றால், தொகுப்பை உருவாக்கியவர் .cargo-ok என்ற பெயருடன் ஒரு குறியீட்டு இணைப்பை உள்ளே வைக்கலாம், இது இணைப்பின் மூலம் சுட்டிக்காட்டப்பட்ட கோப்பில் "சரி" என்ற உரையை எழுத வழிவகுக்கும்.
காப்பகத்திலிருந்து பிரித்தெடுக்கப்பட்ட தரவின் அளவின் வரம்பு இல்லாததால் இரண்டாவது பாதிப்பு ஏற்படுகிறது, இது “ஜிப் குண்டுகளை” உருவாக்கப் பயன்படுகிறது (காப்பகத்தில் ஜிப் வடிவமைப்பிற்கான அதிகபட்ச சுருக்க விகிதத்தை அடைய அனுமதிக்கும் தரவைக் கொண்டிருக்கலாம் - பற்றி 28 மில்லியன் முறை, இந்த வழக்கில், எடுத்துக்காட்டாக, சிறப்பாக தயாரிக்கப்பட்ட 10 MB ஜிப் கோப்பு தோராயமாக 281 TB தரவைக் குறைக்கும்).
ஆதாரம்: opennet.ru