Уязвимость в пакетном менеджере Cargo, применяемом в экосистеме Rust
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора).
Атака может быть совершена в том числе на конфигурации, явно не использующие SSH для обращения к индексам или зависимостям, если в настройках Git разрешена замена HTTPS-соединений к GitHub на SSH (параметр url.<base>.insteadOf), что приводит к клонированию индекса репозитория crates.io по SSH.
Уязвимость устранена в выпуске Rust 1.66.1, в котором была реализована проверка соответствия текущего открытого ключа SSH-сервера ключу, который использовался в прошлых сеансах. В случае изменения ключа в новой версии выводится ошибка из-за подозрения в совершении MITM-атаки. При первом соединении вместо подтверждения подлинности серверного открытого ключа теперь также выводится ошибка с информацией о том как добавить открытый ключ в список ключей, заслуживающих доверия, что может повлиять на работу автоматизированных систем сборки, впервые клонирующих индексы или зависимости с определённого хоста.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://blog.rust-lang.org/202...)
- OpenNews: Уязвимости в пакетном менеджере Cargo, применяемом для проектов на языке Rust
- OpenNews: Уязвимости в Please, альтернативе sudo, написанной на языке Rust
- OpenNews: Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
- OpenNews: Уязвимость в стандартной библиотеке языка Rust
Похожие новости:
- Уязвимость в приложениях на базе HTTP-библиотеки Hyper
- Выпуск языка программирования Rust 1.66
- Фронтэнд для языка Rust доведён до готовности для интеграции в GCC 13
- Выпуск Buttplug 6.2, открытой библиотеки для управления внешними устройствами
- Выпуск Arti 1.1, официальной реализации Tor на языке Rust
- Доступен Wasmer 3.0, инструментарий для создания приложений на базе WebAssembly
- Выпуск операционной системы Redox OS 0.8, написанной на языке Rust
- Открытый драйвер Rusticl сертифицирован на совместимость с OpenCL 3.0
- АНБ рекомендует переходить на языки программирования, безопасно работающие с памятью
- Выпуск языка программирования Rust 1.65
Теги для поиска: #_cargo, #_rust
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:05
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2022-46176), допускающая проведение MITM-атаки, позволяющей вклиниться в канал связи с сервером. Уязвимость вызвана отсутствием проверки хостового открытого ключа во время клонирования индексов и зависимостей по SSH, что позволяет перенаправить обращение на подставной сервер при наличии у атакующего возможности перехвата трафика (например, при контроле над беспроводной точкой доступа или компрометации домашнего/офисного маршрутизатора). Атака может быть совершена в том числе на конфигурации, явно не использующие SSH для обращения к индексам или зависимостям, если в настройках Git разрешена замена HTTPS-соединений к GitHub на SSH (параметр url.<base>.insteadOf), что приводит к клонированию индекса репозитория crates.io по SSH. Уязвимость устранена в выпуске Rust 1.66.1, в котором была реализована проверка соответствия текущего открытого ключа SSH-сервера ключу, который использовался в прошлых сеансах. В случае изменения ключа в новой версии выводится ошибка из-за подозрения в совершении MITM-атаки. При первом соединении вместо подтверждения подлинности серверного открытого ключа теперь также выводится ошибка с информацией о том как добавить открытый ключ в список ключей, заслуживающих доверия, что может повлиять на работу автоматизированных систем сборки, впервые клонирующих индексы или зависимости с определённого хоста. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 21-Ноя 21:05
Часовой пояс: UTC + 5