کارگو پیکیج مینیجر میں، جو زنگ کی زبان میں پیکجوں کو منظم کرنے اور منصوبوں کی تعمیر کے لیے استعمال کیا جاتا ہے، دو کمزوریوں کی نشاندہی کی گئی ہے جن کا فائدہ تیسری پارٹی کے ذخیروں سے خصوصی طور پر ڈیزائن کردہ پیکجوں کو ڈاؤن لوڈ کرتے وقت استعمال کیا جا سکتا ہے (یہ بتایا گیا ہے کہ سرکاری crates.io ریپوزٹری کے صارفین مسئلہ سے متاثر نہیں ہیں)۔ پہلی کمزوری (CVE-2022-36113) کسی بھی فائل کے پہلے دو بائٹس کو اوور رائٹ کرنے کی اجازت دیتی ہے جب تک کہ موجودہ اجازتیں اجازت دیں۔ دوسری کمزوری (CVE-2022-36114) ڈسک کی جگہ کو ختم کرنے کے لیے استعمال کی جا سکتی ہے۔
1.64 ستمبر کو طے شدہ رسٹ 22 کی ریلیز میں کمزوریوں کو طے کیا جائے گا۔ کمزوریوں کو شدت کی کم سطح تفویض کی گئی ہے، کیونکہ اسی طرح کا نقصان اس وقت ہو سکتا ہے جب تھرڈ پارٹی ریپوزٹریز سے غیر تصدیق شدہ پیکجز استعمال کرتے ہوئے اسمبلی اسکرپٹس یا پیکیج میں فراہم کردہ طریقہ کار کے میکرو سے کسٹم ہینڈلرز کو لانچ کرنے کی معیاری صلاحیت کا استعمال کرتے ہوئے ایک ہی وقت میں، مندرجہ بالا مسائل میں فرق ہے کہ وہ ڈاؤن لوڈ کرنے کے بعد پیکج کھولنے کے مرحلے پر (اسمبلی کے بغیر) کا استحصال کیا جاتا ہے.
خاص طور پر، پیکج ڈاؤن لوڈ کرنے کے بعد، کارگو اپنے مواد کو ~/.cargo ڈائرکٹری میں کھولتا ہے اور .cargo-ok فائل میں پیک کھولنے کے کامیاب ہونے کا نشان محفوظ کرتا ہے۔ پہلی کمزوری کا خلاصہ یہ ہے کہ پیکیج بنانے والا .cargo-ok کے نام کے ساتھ اندر ایک علامتی لنک رکھ سکتا ہے، جس کی وجہ سے لنک کے ذریعے اشارہ کردہ فائل پر متن "OK" لکھا جائے گا۔
دوسری کمزوری آرکائیو سے نکالے گئے ڈیٹا کے سائز کی حد کی کمی کی وجہ سے ہوتی ہے، جسے "زپ بم" بنانے کے لیے استعمال کیا جا سکتا ہے (آرکائیو میں ایسا ڈیٹا ہو سکتا ہے جو زپ فارمیٹ کے لیے زیادہ سے زیادہ کمپریشن تناسب کو حاصل کرنے کی اجازت دیتا ہے - تقریباً 28 ملین بار، اس معاملے میں، مثال کے طور پر، ایک خاص طور پر تیار کردہ 10 MB زپ فائل کے نتیجے میں تقریباً 281 TB ڈیٹا کو کم کر دیا جائے گا)۔
ماخذ: opennet.ru