Rust Blog
·
Cargo安全公告(CVE-2026-5223)
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
Rust安全响应团队发现Cargo在处理来自第三方注册表的crate tarballs中的符号链接时存在漏洞(CVE-2026-5223),可能导致恶意crate覆盖同一注册表中其他crate的源代码。使用crates.io的用户不受影响,因为该平台禁止上传包含符号链接的crate。Rust 1.96.0将于2026年5月28日发布,更新Cargo以拒绝提取任何符号链接。建议无法升级的用户审查注册表内容并配置拒绝符号链接。
🎯
关键要点
-
Rust安全响应团队发现Cargo在处理来自第三方注册表的crate tarballs中的符号链接时存在漏洞(CVE-2026-5223)。
-
该漏洞允许恶意crate覆盖同一注册表中其他crate的源代码,严重性为中等。
-
使用crates.io的用户不受影响,因为该平台禁止上传包含符号链接的crate。
-
Rust 1.96.0将于2026年5月28日发布,更新Cargo以拒绝提取任何符号链接。
-
建议无法升级的用户审查注册表内容并配置拒绝符号链接。
-
所有在Rust 1.96.0之前发布的Cargo版本都受到影响。
❓
延伸问答
CVE-2026-5223漏洞的主要影响是什么?
该漏洞允许恶意crate覆盖同一注册表中其他crate的源代码,严重性为中等。
哪些用户不受CVE-2026-5223漏洞的影响?
使用crates.io的用户不受影响,因为该平台禁止上传包含符号链接的crate。
Rust 1.96.0版本将于何时发布?
Rust 1.96.0将于2026年5月28日发布。
如果无法升级到Rust 1.96.0,用户应该怎么做?
建议用户审查注册表内容并配置拒绝符号链接。
Cargo是如何处理crate tarballs中的符号链接的?
Cargo在处理来自第三方注册表的crate tarballs时错误地处理了符号链接,导致安全漏洞。
CVE-2026-5223漏洞的严重性如何评估?
该漏洞的严重性被评估为中等,主要影响使用第三方注册表的用户。
➡️
