Уязвимости в пакетном менеджере Cargo, применяемом для проектов на языке Rust
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлены две уязвимости, которые могут быть эксплуатированы при загрузке специально оформленных пакетов из сторонних репозиториев (утверждается, что пользователей официального репозитория crates.io проблема не затронула). Первая уязвимость (CVE-2022-36113) позволяет перезаписать первые два байта в любом файле, насколько это позволяют текущие права доступа. Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске.
Уязвимости будут устранены в выпуске Rust 1.64, намеченном на 22 сентября. Уязвимостям присвоен низкий уровень опасности, так как похожий вред при использовании непроверенных пакетов из сторонних репозиториев может быть причинён при помощи штатной возможности запуска своих обработчиков из поставляемых в пакете сборочных скриптов или процедурных макросов. При этом вышеотмеченные проблемы отличаются тем, что их эксплуатация осуществляется на стадии раскрытия пакета после загрузки (без сборки).
В частности, после загрузки пакета cargo распаковывает его
содержимое в каталог ~/.cargo и сохраняет признак успешной распаковки в файл .cargo-ok. Суть первой уязвимости в том, что создатель пакета может разместить внутри символическую ссылку с именем .cargo-ok, что приведёт к записи текста "ok" в файл, на который указывает ссылка.
Вторая уязвимость вызвана отсутствием ограничения на размер извлекаемых из архива данных, что может использоваться для создания "zip-бомб" (в архиве могут быть размещены данные, позволяющие добиться максимальной для формата zip степени сжатия - около 28 млн раз, в этом случае, например, специально подготовленный zip-файл размером 10 МБ приведёт к распаковке около 281 ТБ данных).
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.rust-lang.org/202...)
- OpenNews: Уязвимость в стандартной библиотеке языка Rust
- OpenNews: GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust
- OpenNews: Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
- OpenNews: Уязвимости в Please, альтернативе sudo, написанной на языке Rust
- OpenNews: Выпуск языка программирования Rust 1.63
Похожие новости:
- Первый стабильный выпуск Arti, официальной реализации Tor на языке Rust
- Выпуск языка программирования Rust 1.63
- Девятая версия патчей для ядра Linux с поддержкой языка Rust
- Восьмая версия патчей для ядра Linux с поддержкой языка Rust
- В Rust будет прекращена поддержка старых Linux-систем
- В GCC утверждено включение поддержки языка Rust
- Выпуск языка программирования Rust 1.62
- Прогресс в разработке компилятора для языка Rust на базе GCC
- Выпуск языка программирования Rust 1.61
- В Rust-репозитории crates.io выявлен вредоносный пакет rustdecimal
Теги для поиска: #_rust, #_cargo
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Апр 16:09
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлены две уязвимости, которые могут быть эксплуатированы при загрузке специально оформленных пакетов из сторонних репозиториев (утверждается, что пользователей официального репозитория crates.io проблема не затронула). Первая уязвимость (CVE-2022-36113) позволяет перезаписать первые два байта в любом файле, насколько это позволяют текущие права доступа. Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске. Уязвимости будут устранены в выпуске Rust 1.64, намеченном на 22 сентября. Уязвимостям присвоен низкий уровень опасности, так как похожий вред при использовании непроверенных пакетов из сторонних репозиториев может быть причинён при помощи штатной возможности запуска своих обработчиков из поставляемых в пакете сборочных скриптов или процедурных макросов. При этом вышеотмеченные проблемы отличаются тем, что их эксплуатация осуществляется на стадии раскрытия пакета после загрузки (без сборки). В частности, после загрузки пакета cargo распаковывает его содержимое в каталог ~/.cargo и сохраняет признак успешной распаковки в файл .cargo-ok. Суть первой уязвимости в том, что создатель пакета может разместить внутри символическую ссылку с именем .cargo-ok, что приведёт к записи текста "ok" в файл, на который указывает ссылка. Вторая уязвимость вызвана отсутствием ограничения на размер извлекаемых из архива данных, что может использоваться для создания "zip-бомб" (в архиве могут быть размещены данные, позволяющие добиться максимальной для формата zip степени сжатия - около 28 млн раз, в этом случае, например, специально подготовленный zip-файл размером 10 МБ приведёт к распаковке около 281 ТБ данных). =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Апр 16:09
Часовой пояс: UTC + 5