Rust Blog
·
Cargo 安全公告 (CVE-2023-38497)
💡
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Rust安全响应工作组收到通知,Cargo在UNIX-like系统上提取crate存档时没有遵守umask,可能导致代码执行漏洞。
🎯
关键要点
- Rust安全响应工作组收到通知,Cargo在UNIX-like系统上提取crate存档时未遵守umask,可能导致代码执行漏洞。
- 该漏洞被分配为CVE-2023-38497。
- UNIX-like系统中的每个文件有三组权限:用户、组和其他本地用户,umask用于限制文件创建时的权限。
- Cargo在下载依赖时会提取源代码到磁盘,但未遵守umask,导致权限未被限制。
- 所有1.71.1之前的Rust版本在UNIX-like系统上受到影响,Windows和其他非UNIX-like系统不受影响。
- 建议所有用户更新到Rust 1.71.1,以修复该漏洞并遵守umask。
- Cargo 1.71.1及以后的版本会清除旧版本生成的缓存,以防止被利用。
- 如果无法更新到Rust 1.71.1,建议配置系统以防止其他本地用户访问Cargo目录。
- 感谢Addison Crump根据Rust安全政策负责任地披露此漏洞,感谢Rust项目成员的支持。
➡️
