புரோஹோஸ்டர் > Блог > இணைய செய்தி > ரஸ்ட் களஞ்சியமான crates.io இல் தீங்கிழைக்கும் தொகுப்பு rustdecimal கண்டறியப்பட்டது

ரஸ்ட் களஞ்சியமான crates.io இல் தீங்கிழைக்கும் தொகுப்பு rustdecimal கண்டறியப்பட்டது

ரஸ்ட் மொழியின் டெவலப்பர்கள், crates.io களஞ்சியத்தில் தீங்கிழைக்கும் குறியீட்டைக் கொண்ட ஒரு rustdecimal தொகுப்பு அடையாளம் காணப்பட்டுள்ளதாக எச்சரித்துள்ளனர். இந்த தொகுப்பு முறையான rust_decimal தொகுப்பை அடிப்படையாகக் கொண்டது மற்றும் ஒரு பட்டியலிலிருந்து ஒரு தொகுதியைத் தேடும் போது அல்லது தேர்ந்தெடுக்கும் போது அடிக்கோடிட்டு இல்லாததை பயனர் கவனிக்க மாட்டார் என்ற எதிர்பார்ப்புடன் பெயரில் (typesquatting) ஒற்றுமையைப் பயன்படுத்தி விநியோகிக்கப்பட்டது.

இந்த உத்தி வெற்றிகரமாக மாறியது மற்றும் பதிவிறக்கங்களின் எண்ணிக்கையின் அடிப்படையில், கற்பனையான தொகுப்பு அசலுக்கு சற்று பின்தங்கியிருந்தது குறிப்பிடத்தக்கது (~111 ஆயிரம் பதிவிறக்கங்கள் ரஸ்ட்டெசிமல் 1.23.1 மற்றும் 113 ஆயிரம் அசல் rust_decimal 1.23.1) . அதே நேரத்தில், பெரும்பாலான பதிவிறக்கங்கள் தீங்கிழைக்கும் குறியீட்டைக் கொண்டிருக்காத ஒரு பாதிப்பில்லாத குளோன் ஆகும். மார்ச் 25 அன்று rustdecimal 1.23.5 பதிப்பில் தீங்கிழைக்கும் மாற்றங்கள் சேர்க்கப்பட்டன, இது சிக்கலைக் கண்டறிந்து தொகுப்பு தடுக்கப்படுவதற்கு முன்பு சுமார் 500 முறை பதிவிறக்கப்பட்டது (தீங்கிழைக்கும் பதிப்பின் பெரும்பாலான பதிவிறக்கங்கள் போட்களால் செய்யப்பட்டதாகக் கருதப்படுகிறது) மற்றும் களஞ்சியத்தில் உள்ள பிற தொகுப்புகளின் சார்புகளாகப் பயன்படுத்தப்படவில்லை ( தீங்கிழைக்கும் தொகுப்பு இறுதிப் பயன்பாடுகளின் சார்புநிலையாக இருக்கலாம்).

தீங்கிழைக்கும் மாற்றங்கள் டெசிமல்:: நியூ என்ற புதிய செயல்பாட்டைச் சேர்ப்பதை உள்ளடக்கியது, அதன் செயல்பாட்டில் வெளிப்புற சேவையகத்திலிருந்து பதிவிறக்கம் செய்வதற்கும் இயங்கக்கூடிய கோப்பைத் தொடங்குவதற்கும் தெளிவற்ற குறியீடு உள்ளது. செயல்பாட்டை அழைக்கும் போது, ​​சூழல் மாறி GITLAB_CI சரிபார்க்கப்பட்டது, மேலும் அமைக்கப்பட்டால், /tmp/git-updater.bin கோப்பு வெளிப்புற சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்படும். தரவிறக்கம் செய்யக்கூடிய தீங்கிழைக்கும் ஹேண்ட்லர் Linux மற்றும் macOS இல் வேலையை ஆதரித்தது (Windows இயங்குதளம் ஆதரிக்கப்படவில்லை).

தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளில் சோதனையின் போது தீங்கிழைக்கும் செயல்பாடு செயல்படுத்தப்படும் என்று கருதப்பட்டது. rustdecimal ஐத் தடுத்த பிறகு, crates.io நிர்வாகிகள் இதேபோன்ற தீங்கிழைக்கும் செருகல்களுக்கான களஞ்சியத்தின் உள்ளடக்கங்களை பகுப்பாய்வு செய்தனர், ஆனால் மற்ற தொகுப்புகளில் உள்ள சிக்கல்களைக் கண்டறியவில்லை. GitLab இயங்குதளத்தை அடிப்படையாகக் கொண்ட தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புகளின் உரிமையாளர்கள் தங்கள் சேவையகங்களில் சோதனை செய்யப்பட்ட திட்டப்பணிகள் அவற்றின் சார்புகளில் rustdecimal தொகுப்பைப் பயன்படுத்துவதில்லை என்பதை உறுதிப்படுத்த அறிவுறுத்தப்படுகிறார்கள்.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்