聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

流行的编程语言 Rust 项目团队撤销了 crates.io  web app 的所有 API 密钥,原因是 Rust 的数据包系统中包含一个严重漏洞。

这个严重漏洞是由两个因素造成的:首先,Rust 开发人员了解到用于生成 crates.io 的通用 API 密钥或令牌的 PostgreSQL 随机函数并非“安全加密的”随机数生成器。

计算机使用 API 密钥来验证用户或机器并控制它们的访问权限。Rust 项目团队表示,“从理论上将,攻击者通过观察足够多的随机值,能够判断随机数生成器的内部状态,借用该信息来判断上次数据库服务器重启之前创建过的 API 密钥。”

第二个因素是,Rust 项目团队发现数据包的 API 密钥以明文形式存储。如攻击者攻陷了该数据库,那么他们就拥有所有当前令牌的 API 访问权限。

Rust 项目团队目前已推出安全加密的随机数生成器,并在数据库存储令牌是执行了哈希函数。

Rust 项目团队在安全公告中指出,“利用任何一个问题都会对实践产生巨大影响,我们未发现它们已遭利用的证据。然而,谨慎起见,我们选择撤销所有的已有 API 密钥。”

已发布 crates 数据包的开发人员可在 crates.io 网站上生成新的 API 密钥。

Crates.io 网站指出,4.3万个 crates 的总下载量已超过30亿次。Crates 是 Rust 编程语言的一个关键组成部分。Deno 是 Node.js 可能的继承者,由 Rust 编写,被视作 crate 的集合而非单块程序。

7月11日,Rust 项目团队收到缺陷报告,7月14日迅速修复问题、撤销令牌并发布披露公告。

推荐阅读

《应用软件安全编程指南》国标发布 奇安信代码卫士已全面支持

WhiteSource 发布《2019年开源组件安全漏洞现状报告》:哪种语言最安全?

原文链接

https://www.zdnet.com/article/rust-programming-language-crates-package-api-tokens-revoked-over-serious-security-flaw/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ,加油鸭~

因严重缺陷,Rust 撤销所有 Crates 包的 API 令牌相关推荐

  1. Rust学习:14_包和模块

    Rust学习:14_包和模块 前言 为了学习Rust,阅读了github上的Rust By Practice电子书,本文章只是用来记录自己的学习过程,感兴趣的可以阅读原书,希望大家都能掌握Rust! ...

  2. Rust学习—解决crates.io 仓库代码下载慢的问题

    今天是学习Rust的第二天,在尝试调用依赖(dependencies)的时候发现非!常!慢!需要采用一些方法来解决. Rust学习-解决crates.io 仓库代码下载慢的问题 今天在下载randra ...

  3. 恶意NPM包窃取Discord 令牌和信用卡信息等

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  4. 在spring官网上下载spring的jar包及API文档

    1.在浏览器搜索spring,进入spring官网 2.在spring官网里面点击PROJECTS 3.点击SPRING FRAMEWORK 4.点击 "猫" 5.在中间找到Dow ...

  5. Rust编译加速crates.io

    编译Rust项目时需要访问crates.io, 由于网络环境原因通常比较慢,可以使用国内的crates.io地址: 编辑或新建~/.cargo/config文件,添加以下内容: [source.cra ...

  6. 使用浏览器抓包获取API

    1.首先打开要抓取的网页,这里我以http://music.hao123.com/为示例 2.右击网页属性点击检查或者直接F12进入调试,效果如下 3.然后再搜索框输入教父 搜索以后可以看到数据发生了 ...

  7. php sdk包,CloudXNS API PHP SDK

    软件简介 这是一款 PHP >= 5.4.0 Install If you do not have Composer, you may install it by following the i ...

  8. 必应首页背景图片抓包-截取api

    抓取必应图片的方法, 作用你可以自己考虑啊. 例如给你的app每天换一个背景,或者给你的桌面换背景 毕竟,必应找的图的质量还是可以保证的. 1.下面是获取图片网址的API http://cn.bing ...

  9. Rust 修复隐秘的ReDoS 漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rust 安全团队修复了位于 Regex crate 中的一个漏洞,可导致应用程序遭拒绝服务攻击.如正则表达式字符串太复杂而不易解析,则会消耗资 ...

最新文章

  1. 中国大学MOOC-数据结构基础习题集、06-2、旅游规划
  2. Delphi关于多线程同步的一些方法
  3. python middleware模块_python之auth模块
  4. 深刻理解 React (一) ——JSX和虚拟DOM
  5. 如何打开Assets.car文件
  6. int转字符串_python3基础01数值和字符串(一)
  7. DICM和BMP图像的显示及转换
  8. 居家装修这些细节一定得注意到
  9. js json数据去重。json数据如何将相邻的一条数据的重复数据删掉,通过key判断值相等的
  10. 查看oracle负载过大的原因,Oracle备份时系统负载过高导致ORA-3136错误和AIX系统的3D32B80D错误...
  11. Xshell 4 SSH隧道跳转访问局域网服务器
  12. 详解c语言main函数、printf函数、scanf函数与va家族
  13. 当 input 属性为 number,设置maxlength属性不生效的坑
  14. 学习Python很难?过来人给你分享学习经验
  15. 苹果6plus自动时间不准 修复苹果自动设置时间不准教程(图文)
  16. Altera Scatter-Gather DMA (SG-DMA)的简单使用
  17. arrays.sort()
  18. ffmpeg源码简析(十二)FFMPEG中的主要结构体总结
  19. springMVC源码分析--@SessionAttribute用法及原理解析SessionAttributesHandler和SessionAttributeStore
  20. 对于直播软件开发行业来说,延迟高达三分钟,会有什么影响

热门文章

  1. ASP.NET CORE的Code Fist后Models更改了怎么办?
  2. java 继承 String类
  3. C/C++笔试题(基础题)
  4. 再谈Bellman-Ford
  5. IOS Socket 01-网络协议基础知识
  6. JAVA classpath jar问题[zz]
  7. linux recv 返回值与linux socket 错误分析
  8. The Definitive Guide To Django 2 学习笔记(八) 第四章 模板 (四)基本的模板标签和过滤器...
  9. Json 语法 格式
  10. curl命令详解_命令行学习(一)基础命令