Уязвимость в пакетном менеджере Cargo
Дата публикации:Thu, 03 Aug 2023 22:11:40 +0300
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2023-38497), вызванная отсутствием учёта значения umask в процессе извлечения файлов из пакетов на Unix-подобных системах, что приводит к установке для извлечённых файлов исходных прав доступа, указанных в архиве.
Если в архиве имеются файлы с правами, разрешающими запись для всех пользователей, то они будут распакованы без очистки данных прав, что позволит любому локальному пользователю изменить код зависимости и добиться выполнения своего кода во время компиляции и выполнения проекта другим пользователем. Уязвимость устранена в выпуске Rust 1.71.1.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=59548