“GitHub 阅读地址: https://github.com/RustMagazine/rust-horizon-2023
社区热点
Rust 1.66.1 发布
Rust 1.66.1 修复了 Cargo 在使用 SSH 克隆依赖项或注册表索引时不验证 SSH 主机密钥的问题。此安全漏洞被跟踪为 CVE-2022-46176[1]。所有包含 1.66.1 之前的 Cargo 的 Rust 版本都容易受到攻击。
Rust 1.66.0 的补丁文件也可在此处[2]获得,用于定制工具链。
如果您还不能升级到 Rust 1.66.1,官方建议将 Cargo 配置为使用git 命令 而不是其内置的 git 支持。这样,所有 git 网络操作都将由git 命令 执行,不受此漏洞的影响。可以通过 Cargo 配置文件来实现:
代码语言:javascript复制[net]
git-fetch-with-cli = true
Cargo 安全公告 (CVE-2022-46176)
Rust 官方发布了Cargo 安全公告 (CVE-2022-46176)[3],Rust 安全响应工作组获悉,Cargo 在通过 SSH 克隆索引和依赖项时未执行 SSH 主机密钥验证。攻击者可利用此漏洞执行中间人 (MITM) 攻击。
“当 SSH 客户端与服务器建立通信时,为了防止 MITM 攻击,客户端应该检查它是否已经与该服务器通信过,以及当时服务器的公钥是什么。如果自上次连接以来密钥发生变化,则必须中止连接,因为可能会发生 MITM 攻击。
该漏洞是由 Julia 安全团队 提交给 Rust 安全团队。
Rust 1.68 中将更新 Android NDK
原文[4]
Rust 中的 Android 平台支持将在 Rust 1.68 中实现现代化,因为在 NDK r23 中,Android 切换到对所有架构使用 LLVM 的 libunwind 。展望未来,Android 平台将以最新的 LTS(长期支持) NDK 为目标,允许 Rust 开发人员更快地访问平台功能。这些更新应每年进行一次,并将在发行说明中公布。
“Android 中 NDK 工具链说明[5]
【辟谣】hyper 存在拒绝服务漏洞 ??? Rust 项目易受 DoS 攻击???真相在这里
近日,社区疯狂流传一篇被标题为“Hyper 存在漏洞,Rust项目易受拒绝服务攻击”的文章。
当然,这篇文章来自于国外,原文是 JFrog (JFrog是 Rust基金会白金成员)官方博客发布的名为“使用 Rust 流行的 Hyper 包时注意 DoS”[6] 的文章。
其实,JFrog 的人在几个月之前就联系过 Hyper 作者 seanmonstar ,seanmonstar 在 hyper 相关 issues [7] 里说到:
“我知道这篇文章,他们在几个月前私下联系了我,我试图解释它与 本质上是一样的
Read::read_to_end,但他们觉得声称 hyper 易受攻击的大标题对他们有用。
