CVE-2022-36114

Versões do Cargo anteriores à 1.64

O problema está relacionado ao Cargo, um gerenciador de pacotes para a linguagem de programação Rust, que não limita a quantidade de dados extraídos de arquivos compactados. Um invasor poderia enviar um pacote especialmente criado para um repositório alternativo que extraia mais dados do que seu tamanho, também conhecido como “zip bomb”, esgotando o espaço em disco na máquina que usa o Cargo para baixar o pacote. Por padrão, o Cargo permite a execução de código durante a compilação devido a scripts de compilação e macros procedurais, possibilitando que dependências maliciosas causem danos. A vulnerabilidade permite realizar um subconjunto dos danos possíveis de uma forma mais difícil de rastrear. Recomenda-se que usuários de registros alternativos tenham cuidado ao baixar pacotes, incluindo apenas dependências confiáveis em seus projetos.

Para versões anteriores à 1.64, atualize para o Rust 1.64 ou posterior para corrigir o problema.

Para usuários do Rust 1.63.0, arquivos de patch estão disponíveis no repositório wg-security-response para quem estiver compilando sua própria cadeia de ferramentas.

Como solução temporária, considere ter cuidado ao baixar pacotes, incluindo apenas dependências confiáveis em seus projetos.

Restrinja o acesso a dependências não confiáveis para minimizar o risco de exploração.