Дар менеҷери бастаи боркаш, ки барои идоракунии бастаҳо ва сохтани лоиҳаҳо бо забони Rust истифода мешавад, ду осебпазирӣ муайян карда шудааст, ки ҳангоми зеркашии бастаҳои махсус тарҳрезишуда аз анбори тарафи сеюм истифода мешаванд (гуфта мешавад, ки корбарони анбори расмии crates.io ба мушкилот таъсир намерасонад). Ҳассосияти аввал (CVE-2022-36113) имкон медиҳад, ки ду байти аввали ҳама гуна файл то он даме, ки иҷозатҳои ҷорӣ иҷозат медиҳанд, дубора навишта шаванд. осебпазирии дуюм (CVE-2022-36114) метавонад барои тамом кардани фазои диск истифода шавад.
Офтобҳо дар нашри Rust 1.64, ки 22 сентябр пешбинӣ шудааст, ислоҳ карда мешаванд. Ба осебпазириҳо дараҷаи пасти шиддат таъин карда мешаванд, зеро зарари шабеҳ ҳангоми истифодаи бастаҳои тасдиқнашуда аз анбори шахсони сеюм бо истифода аз қобилияти стандартии оғоз кардани коркардкунандагони фармоишӣ аз скриптҳои монтаж ё макросҳои мурофиавии дар баста таъминшуда расонида мешавад. Дар баробари ин, мушкилоти дар боло зикршуда бо он фарқ мекунанд, ки онҳо дар марҳилаи кушодани баста пас аз зеркашӣ (бе васлкунӣ) истифода мешаванд.
Аз ҷумла, пас аз зеркашии баста, бор мундариҷаи онро ба феҳристи ~/.cargo мекушояд ва аломати кушодани бомуваффақиятро дар файли .cargo-ok нигоҳ медорад. Моҳияти осебпазирии аввал дар он аст, ки созандаи баста метавонад дар дохили он истиноди рамзӣ бо номи .cargo-ok ҷойгир кунад, ки ин боиси навиштани матни “ok” ба файли бо истинод ишорашуда мегардад.
Осебпазирии дуюм аз набудани маҳдудияти андозаи маълумоте, ки аз бойгонӣ гирифта мешавад, барои эҷоди "бомбаҳои zip" истифода мешавад (архив метавонад маълумоте дошта бошад, ки имкон медиҳад, ки таносуби фишурдани ҳадди аксар барои формати zip ба даст оварда шавад - дар бораи 28 миллион маротиба, дар ин ҳолат, масалан, файли махсуси zip-и 10 МБ ба декомпрессияи тақрибан 281 ТБ маълумот оварда мерасонад).
Манбаъ: opennet.ru