IT资讯 Rust 1.66.1 发布

tygo · 2023-01-15 09:30:05 · 热度: 23

Rust 1.66.1 已发布,这是一个安全补丁更新:

  • 修复了 Cargo 在使用 SSH 克隆依赖项或注册表索引时不验证 SSH 主机密钥的问题。

此安全漏洞的编号为 CVE-2022-46176,所有包含 Cargo 的 Rust 1.66.1 之前的版本都容易受到攻击。

Rust 1.66.0 补丁文件:https://github.com/rust-lang/wg-security-response/tree/main/patches/CVE-2022-46176,用于定制 工具 链。

如果还不能升级到 Rust 1.66.1,官方建议将 Cargo 配置为使用 git 命令而不是其内置的 git 支持。这样,所有 git 网络操作都将由 git 命令执行,不受此漏洞的影响。可以通过 Cargo 配置文件来实现:

[net]
git-fetch-with-cli = true

Cargo 安全公告 (CVE-2022-46176)

Rust 官方发布了 Cargo 安全公告 (CVE-2022-46176),Rust 安全响应工作组获悉,Cargo 在通过 SSH 克隆索引和依赖项时未执行 SSH 主机密钥验证。攻击者可利用此漏洞执行中间人 (MITM) 攻击。

当 SSH 客户端与服务器建立通信时,为了防止 MITM 攻击,客户端应该检查它是否已经与该服务器通信过,以及当时服务器的公钥是什么。如果自上次连接以来密钥发生变化,则必须中止连接,因为可能会发生 MITM 攻击。

点此查看详情

为您推荐与 rust 相关的帖子:

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册