因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
流行的编程语言 Rust 项目团队撤销了 crates.io 包 web app 的所有 API 密钥,原因是 Rust 的数据包系统中包含一个严重漏洞。
这个严重漏洞是由两个因素造成的:首先,Rust 开发人员了解到用于生成 crates.io 的通用 API 密钥或令牌的 PostgreSQL 随机函数并非“安全加密的”随机数生成器。
计算机使用 API 密钥来验证用户或机器并控制它们的访问权限。Rust 项目团队表示,“从理论上将,攻击者通过观察足够多的随机值,能够判断随机数生成器的内部状态,借用该信息来判断上次数据库服务器重启之前创建过的 API 密钥。”
第二个因素是,Rust 项目团队发现数据包的 API 密钥以明文形式存储。如攻击者攻陷了该数据库,那么他们就拥有所有当前令牌的 API 访问权限。
Rust 项目团队目前已推出安全加密的随机数生成器,并在数据库存储令牌是执行了哈希函数。
Rust 项目团队在安全公告中指出,“利用任何一个问题都会对实践产生巨大影响,我们未发现它们已遭利用的证据。然而,谨慎起见,我们选择撤销所有的已有 API 密钥。”
已发布 crates 数据包的开发人员可在 crates.io 网站上生成新的 API 密钥。
Crates.io 网站指出,4.3万个 crates 的总下载量已超过30亿次。Crates 是 Rust 编程语言的一个关键组成部分。Deno 是 Node.js 可能的继承者,由 Rust 编写,被视作 crate 的集合而非单块程序。
7月11日,Rust 项目团队收到缺陷报告,7月14日迅速修复问题、撤销令牌并发布披露公告。
推荐阅读
《应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持
WhiteSource 发布《2019年开源组件安全漏洞现状报告》:哪种语言最安全?
原文链接
https://www.zdnet.com/article/rust-programming-language-crates-package-api-tokens-revoked-over-serious-security-flaw/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌相关推荐
- Rust学习:14_包和模块
Rust学习:14_包和模块 前言 为了学习Rust,阅读了github上的Rust By Practice电子书,本文章只是用来记录自己的学习过程,感兴趣的可以阅读原书,希望大家都能掌握Rust! ...
- Rust学习—解决crates.io 仓库代码下载慢的问题
今天是学习Rust的第二天,在尝试调用依赖(dependencies)的时候发现非!常!慢!需要采用一些方法来解决. Rust学习-解决crates.io 仓库代码下载慢的问题 今天在下载randra ...
- 恶意NPM包窃取Discord 令牌和信用卡信息等
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 在spring官网上下载spring的jar包及API文档
1.在浏览器搜索spring,进入spring官网 2.在spring官网里面点击PROJECTS 3.点击SPRING FRAMEWORK 4.点击 "猫" 5.在中间找到Dow ...
- Rust编译加速crates.io
编译Rust项目时需要访问crates.io, 由于网络环境原因通常比较慢,可以使用国内的crates.io地址: 编辑或新建~/.cargo/config文件,添加以下内容: [source.cra ...
- 使用浏览器抓包获取API
1.首先打开要抓取的网页,这里我以http://music.hao123.com/为示例 2.右击网页属性点击检查或者直接F12进入调试,效果如下 3.然后再搜索框输入教父 搜索以后可以看到数据发生了 ...
- php sdk包,CloudXNS API PHP SDK
软件简介 这是一款 PHP >= 5.4.0 Install If you do not have Composer, you may install it by following the i ...
- 必应首页背景图片抓包-截取api
抓取必应图片的方法, 作用你可以自己考虑啊. 例如给你的app每天换一个背景,或者给你的桌面换背景 毕竟,必应找的图的质量还是可以保证的. 1.下面是获取图片网址的API http://cn.bing ...
- Rust 修复隐秘的ReDoS 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rust 安全团队修复了位于 Regex crate 中的一个漏洞,可导致应用程序遭拒绝服务攻击.如正则表达式字符串太复杂而不易解析,则会消耗资 ...
最新文章
- 中国大学MOOC-数据结构基础习题集、06-2、旅游规划
- Delphi关于多线程同步的一些方法
- python middleware模块_python之auth模块
- 深刻理解 React (一) ——JSX和虚拟DOM
- 如何打开Assets.car文件
- int转字符串_python3基础01数值和字符串(一)
- DICM和BMP图像的显示及转换
- 居家装修这些细节一定得注意到
- js json数据去重。json数据如何将相邻的一条数据的重复数据删掉,通过key判断值相等的
- 查看oracle负载过大的原因,Oracle备份时系统负载过高导致ORA-3136错误和AIX系统的3D32B80D错误...
- Xshell 4 SSH隧道跳转访问局域网服务器
- 详解c语言main函数、printf函数、scanf函数与va家族
- 当 input 属性为 number,设置maxlength属性不生效的坑
- 学习Python很难?过来人给你分享学习经验
- 苹果6plus自动时间不准 修复苹果自动设置时间不准教程(图文)
- Altera Scatter-Gather DMA (SG-DMA)的简单使用
- arrays.sort()
- ffmpeg源码简析(十二)FFMPEG中的主要结构体总结
- springMVC源码分析--@SessionAttribute用法及原理解析SessionAttributesHandler和SessionAttributeStore
- 对于直播软件开发行业来说,延迟高达三分钟,会有什么影响
热门文章
- ASP.NET CORE的Code Fist后Models更改了怎么办?
- java 继承 String类
- C/C++笔试题(基础题)
- 再谈Bellman-Ford
- IOS Socket 01-网络协议基础知识
- JAVA classpath jar问题[zz]
- linux recv 返回值与linux socket 错误分析
- The Definitive Guide To Django 2 学习笔记(八) 第四章 模板 (四)基本的模板标签和过滤器...
- Json 语法 格式
- curl命令详解_命令行学习(一)基础命令