రస్ట్ భాషలో ప్యాకేజీలను నిర్వహించడానికి మరియు ప్రాజెక్ట్లను రూపొందించడానికి ఉపయోగించే కార్గో ప్యాకేజీ మేనేజర్లో, థర్డ్-పార్టీ రిపోజిటరీల నుండి ప్రత్యేకంగా రూపొందించిన ప్యాకేజీలను డౌన్లోడ్ చేసేటప్పుడు ఉపయోగించబడే రెండు దుర్బలత్వాలు గుర్తించబడ్డాయి (అధికారిక crates.io రిపోజిటరీ యొక్క వినియోగదారులు అని పేర్కొనబడింది. సమస్య ప్రభావితం కాదు). మొదటి దుర్బలత్వం (CVE-2022-36113) ప్రస్తుత అనుమతులు అనుమతించినంత వరకు ఏదైనా ఫైల్లోని మొదటి రెండు బైట్లను ఓవర్రైట్ చేయడానికి అనుమతిస్తుంది. రెండవ దుర్బలత్వం (CVE-2022-36114) డిస్క్ స్థలాన్ని ఎగ్జాస్ట్ చేయడానికి ఉపయోగించవచ్చు.
సెప్టెంబర్ 1.64న షెడ్యూల్ చేయబడిన రస్ట్ 22 విడుదలలో బలహీనతలు పరిష్కరించబడతాయి. అసంబ్లీ స్క్రిప్ట్లు లేదా ప్యాకేజీలో సరఫరా చేయబడిన ప్రొసీజరల్ మాక్రోల నుండి అనుకూల హ్యాండ్లర్లను ప్రారంభించే ప్రామాణిక సామర్థ్యాన్ని ఉపయోగించి మూడవ పక్ష రిపోజిటరీల నుండి ధృవీకరించబడని ప్యాకేజీలను ఉపయోగిస్తున్నప్పుడు ఇలాంటి హాని కలిగించవచ్చు కాబట్టి దుర్బలత్వాలు తక్కువ స్థాయి తీవ్రతను కేటాయించబడతాయి. అదే సమయంలో, పైన పేర్కొన్న సమస్యలు, డౌన్లోడ్ చేసిన తర్వాత (అసెంబ్లీ లేకుండా) ప్యాకేజీని తెరిచే దశలో అవి దోపిడీకి గురవుతాయి.
ప్రత్యేకించి, ప్యాకేజీని డౌన్లోడ్ చేసిన తర్వాత, కార్గో దాని కంటెంట్లను ~/.కార్గో డైరెక్టరీలోకి అన్ప్యాక్ చేస్తుంది మరియు .cargo-ok ఫైల్లో విజయవంతమైన అన్ప్యాకింగ్ యొక్క చిహ్నాన్ని నిల్వ చేస్తుంది. మొదటి దుర్బలత్వం యొక్క సారాంశం ఏమిటంటే, ప్యాకేజీ సృష్టికర్త .cargo-ok పేరుతో ఒక సింబాలిక్ లింక్ను లోపల ఉంచవచ్చు, ఇది లింక్ ద్వారా సూచించబడిన ఫైల్కు "ok" అనే వచనాన్ని వ్రాయడానికి దారి తీస్తుంది.
ఆర్కైవ్ నుండి సంగ్రహించబడిన డేటా పరిమాణంపై పరిమితి లేకపోవడం వల్ల రెండవ దుర్బలత్వం ఏర్పడుతుంది, ఇది “జిప్ బాంబులు” సృష్టించడానికి ఉపయోగపడుతుంది (ఆర్కైవ్లో జిప్ ఫార్మాట్ కోసం గరిష్ట కుదింపు నిష్పత్తిని సాధించడానికి అనుమతించే డేటా ఉంటుంది - గురించి 28 మిలియన్ సార్లు, ఈ సందర్భంలో, ఉదాహరణకు, ప్రత్యేకంగా తయారు చేయబడిన 10 MB జిప్ ఫైల్ దాదాపు 281 TB డేటా యొక్క డికంప్రెషన్కు దారి తీస్తుంది).
మూలం: opennet.ru