【Rust日报】2025-10-31 Rust 1.91.0 发布
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Rust 1.91.0 发布,新增 aarch64-pc-windows-msvc 目标平台为 Tier 1 级别,并稳定化部分 API。同时,发现 tokio-tar 库存在高危漏洞“ TARmageddon”,可能导致远程代码执行,提醒开发者关注逻辑漏洞和无人维护的依赖风险。
🎯
关键要点
- Rust 1.91.0 发布,新增 aarch64-pc-windows-msvc 目标平台为 Tier 1 级别。
- 对从局部变量生成悬垂原始指针的 lint 检查进行了更新。
- 稳定化了一批 API,完整变更内容可查阅官方博客。
- tempotime 是一个新的日期时间库,具有零依赖、不可变设计、链式调用和时区支持等特性。
- 安全公司 Edera 发现 tokio-tar 库存在高危漏洞 'TARmageddon',可能导致远程代码执行。
- 该漏洞影响了多个重要项目,CVSS 评分为 8.1,官方漏洞编号为 CVE-2025-62518。
- 潜在攻击途径包括劫持 CI/CD 流水线、注入未授权内容和绕过安全扫描器。
- 原始 tokio-tar crate 长期未维护,建议迁移至仍在维护的分支,如 astral-tokio-tar。
- 事件提醒开发者,Rust 虽能防范内存漏洞,但逻辑漏洞和无人维护的依赖仍是安全隐患。
- 未修复的 tokio-tar crate 下载量超过 500 万次,显示开源供应链风险的规模。
❓
延伸问答
Rust 1.91.0 新增了哪些重要特性?
Rust 1.91.0 新增了 aarch64-pc-windows-msvc 目标平台为 Tier 1 级别,并稳定化了一批 API。
什么是 tokio-tar 库的 TARmageddon 漏洞?
TARmageddon 漏洞是 tokio-tar 库中的高危逻辑漏洞,可能导致远程代码执行,CVSS 评分为 8.1。
开发者如何应对 tokio-tar 的安全漏洞?
开发者应迁移至仍在维护的分支,如 astral-tokio-tar,以避免使用未修复的 tokio-tar crate。
tempotime 库有哪些主要特性?
tempotime 是一个零依赖的日期时间库,具有不可变设计、链式调用和时区支持等特性。
tokio-tar 漏洞对 Rust 生态系统有什么影响?
tokio-tar 漏洞影响了多个重要项目,可能导致攻击者劫持 CI/CD 流水线和注入恶意内容。
Rust 1.91.0 的 lint 检查更新了什么内容?
Rust 1.91.0 更新了对从局部变量生成悬垂原始指针的 lint 检查。
➡️
