Rust 1.66.1 发布

广告位

Rust 1.66.1 已发布,这是一个安全补丁更新:

  • 修复了 Cargo 在使用 SSH 克隆依赖项或注册表索引时不验证 SSH 主机密钥的问题。

此安全漏洞的编号为 CVE-2022-46176,所有包含 Cargo 的 Rust 1.66.1 之前的版本都容易受到攻击。

Rust 1.66.0 补丁文件:https://github.com/rust-lang/wg-security-response/tree/main/patches/CVE-2022-46176,用于定制工具链。

如果还不能升级到 Rust 1.66.1,官方建议将 Cargo 配置为使用 git 命令而不是其内置的 git 支持。这样,所有 git 网络操作都将由 git 命令执行,不受此漏洞的影响。可以通过 Cargo 配置文件来实现:

  [net]  git-fetch-with-cli = true

Cargo 安全公告 (CVE-2022-46176)

Rust 官方发布了 Cargo 安全公告 (CVE-2022-46176),Rust 安全响应工作组获悉,Cargo 在通过 SSH 克隆索引和依赖项时未执行 SSH 主机密钥验证。攻击者可利用此漏洞执行中间人 (MITM) 攻击。

当 SSH 客户端与服务器建立通信时,为了防止 MITM 攻击,客户端应该检查它是否已经与该服务器通信过,以及当时服务器的公钥是什么。如果自上次连接以来密钥发生变化,则必须中止连接,因为可能会发生 MITM 攻击。

点此查看详情

展开阅读全文
本文来自网络,不代表技术学习分享_一航技术立场,转载请注明出处。

作者: 一航技术

上一篇
下一篇
广告位

发表回复

返回顶部