Rust Blog
·
Cargo安全公告
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Rust安全响应团队发现第三方库tar存在漏洞CVE-2026-33056,该漏洞允许恶意库在构建时更改文件系统目录权限。3月13日,Rust团队针对公共crates.io注册表进行了修复,确保未发现利用该漏洞的库。Rust 1.94.1将于2026年3月26日发布,更新tar库以修复此漏洞。感谢Sergei Zimmerman及其他团队成员的支持。
🎯
关键要点
- Rust安全响应团队发现第三方库tar存在漏洞CVE-2026-33056,该漏洞允许恶意库在构建时更改文件系统目录权限。
- 3月13日,Rust团队针对公共crates.io注册表进行了修复,确保未发现利用该漏洞的库。
- Rust 1.94.1将于2026年3月26日发布,更新tar库以修复此漏洞。
- 感谢Sergei Zimmerman及其他团队成员的支持。
❓
延伸问答
CVE-2026-33056漏洞的影响是什么?
该漏洞允许恶意库在构建时更改文件系统目录权限。
Rust团队是如何应对tar库的漏洞的?
Rust团队在3月13日修复了公共crates.io注册表,确保未发现利用该漏洞的库。
Rust 1.94.1版本将于何时发布?
Rust 1.94.1将于2026年3月26日发布。
如何确认我使用的库是否受到CVE-2026-33056漏洞的影响?
对于使用公共crates.io注册表的用户,可以确认没有库利用该漏洞;对于其他注册表的用户,请联系注册表供应商进行验证。
谁发现了tar库的漏洞?
Sergei Zimmerman发现了tar库的漏洞,并提前通知了Rust项目。
Rust团队在处理此漏洞时有哪些成员参与?
参与的成员包括Eric Huss、Tobias Bieniek、Adam Harvey、Walter Pearce、Emily Albini和Josh Stone等。
➡️
