Überarbeitete Crates

Rust: Crates.io behebt mehrere Sicherheitslücken
Keine Kommentare

Rusts Community Package Registry crates.io hat im letzten Monat mehrere Crates überarbeitet, die von Security Bugs betroffen waren, darunter bitvec und hyper.

Die RustSec Advisory Database veröffentlichte den Überblick über die im Monat März geschlossenen Sicherheitslücken in einzelnen Crates auf der Registry-Plattform crates.io. Betroffen sind demnach Bitvec, hyper, cbox und bumpalo. Die Crates wurden nun überarbeitet und die Bugs behoben.

crates.io: Bugfixes für Crates

Da es bei BitVec während der Konvertierung zu BitBox zu keiner Berücksichtigung des Allocation Movements kam, wurde nicht mehr die ursprüngliche Adresse verwendet, sondern jene nach der Konvertierung. Auf Seiten von hyper war es mittels GET-Requests möglich, die Kontrolle über den Body zu erlangen, auch wenn kein Transfer-Encoding oder Content-Lenght Header vorhanden ist. Da derartige Requests laut der HTTP 1.1-Spezifikation aber keine Bodies besitzen, wird der Body als eigenständiger HTTP-Requests interpretiert. Diese Schwachstelle wurde mit der neuen Version 0.12.35 von hyper nun geschlossen, mehr Informationen zu diesem Issue finden sich auf GitHub.

Ebenfalls behoben wurden Probleme in den Crates Cbox und bumpalo.

Um zu testen, ob der eigene Code von den Schwachstellen der Crates betroffen ist, kann entweder cargo-audit verwendet oder auf GitHub Actions zurückgegriffen werden.

Alle Informationen zu den behobenen Bugs der einzelnen Rust Crates finden sich auf der offiziellen Webseite der RustSec Advisory Database.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -