CVE-2022-36113

Versões do Cargo anteriores à 1.64

O problema decorre do fato de o Cargo permitir que os pacotes contenham um link simbólico .cargo-ok. Quando o Cargo tenta gravar “ok” no .cargo-ok, ele substitui os dois primeiros bytes do arquivo para o qual o link simbólico aponta por “ok”, o que pode corromper um arquivo na máquina. Essa vulnerabilidade permite que um invasor cause um subconjunto de danos possíveis de uma forma mais difícil de rastrear. Por padrão, o Cargo permite a execução de código durante a compilação devido a scripts de compilação e macros procedurais, tornando essencial que os usuários confiem que suas dependências estejam protegidas contra ataques.

Para versões do Cargo anteriores à 1.64, atualize para o Rust 1.64 ou posterior para resolver o problema. Alternativamente, para o Rust 1.63.0, aplique os arquivos de patch disponíveis no repositório wg-security-response. Usuários de registros alternativos devem ter cuidado ao escolher pacotes, incluindo apenas dependências confiáveis em seus projetos. Como medida de mitigação temporária, considere restringir o uso de scripts de compilação e macros procedurais até que o problema seja resolvido.