Cargo paket menejerida paketlarni boshqarish va Rust loyihalarini yaratish uchun ishlatiladigan ikkita zaiflik aniqlandi. Ushbu zaifliklardan uchinchi tomon omborlaridan maxsus tayyorlangan paketlarni yuklab olish orqali foydalanish mumkin (rasmiy crates.io ombori foydalanuvchilari ta'sirlanmagan deyiladi). Birinchi zaiflik (CVE-2022-36113) joriy ruxsatlarga bog'liq holda har qanday faylning dastlabki ikki baytini qayta yozish imkonini beradi. Ikkinchi zaiflik (CVE-2022-36114) disk maydonini bo'shatish uchun ishlatilishi mumkin.
Zaifliklar 22-sentabrga rejalashtirilgan Rust 1.64 versiyasida tuzatiladi. Ushbu zaifliklar past darajadagi deb baholanadi, chunki shunga o'xshash zarar uchinchi tomon omborlaridan tekshirilmagan paketlardan paket tomonidan taqdim etilgan tuzish skriptlari yoki protsedura makroslaridan ishlov beruvchilarni ishga tushirish uchun o'rnatilgan imkoniyatdan foydalangan holda foydalanish natijasida kelib chiqishi mumkin. Biroq, yuqorida aytib o'tilgan muammolar paketni yuklashdan keyin (tuzmasdan) kengaytirish bosqichida foydalanilishi bilan ajralib turadi.
Xususan, paketni yuklab olgandan so'ng, cargo o'z tarkibini ~/.cargo katalogiga ochadi va muvaffaqiyatli ochish bayrog'ini .cargo-ok faylida saqlaydi. Birinchi zaiflik shundaki, paket yaratuvchisi paket ichiga .cargo-ok nomli ramziy havolani joylashtirishi mumkin, bu esa havola ko'rsatgan faylga "ok" matnini yozishga olib keladi.
Ikkinchi zaiflik arxivdan olingan ma'lumotlarning o'lcham chegarasining yo'qligi bilan bog'liq bo'lib, undan "zip bombalari" yaratish uchun foydalanish mumkin (arxivda zip formati uchun maksimal siqish nisbatiga erisha oladigan ma'lumotlar bo'lishi mumkin - taxminan 28 million marta; bu holda, masalan, 10 MB hajmdagi maxsus tayyorlangan zip fayli taxminan 281 TB ma'lumotlarning ochilishiga olib keladi).
Manba: opennet.ru
