🚨 Cargo Security Advisory CVE-2026-33056
漏洞概述
Rust安全响应团队收到了一个关于第三方crate tar 的安全漏洞通知。该crate被Cargo用于在构建过程中解压包。该漏洞编号为 CVE-2026-33056,允许恶意crate在Cargo解压时修改文件系统中任意目录的权限。
⚠️ 重要: 这是一个供应链安全问题,影响所有使用Cargo的Rust开发者。
影响范围
- crates.io用户: 已于3月13日部署防护措施,并审计了所有历史crate。确认无crate利用此漏洞。
- 非官方registry用户: 需要联系供应商确认是否受影响。
- 旧版本: Rust 1.94.1将于3月26日发布修复,但无法保护使用旧版本Cargo的非官方registry用户。
时间线
- 3月13日: crates.io部署防护措施
- 3月21日: 公开安全公告
- 3月26日: Rust 1.94.1发布修复版本
核心洞察: 第三方依赖的安全漏洞可能影响整个生态系统的供应链安全。即使是成熟的生态系统如Rust,也面临来自依赖链的攻击风险。
致谢
- Sergei Zimmerman: 发现tar crate底层漏洞
- William Woodruff: 协助crates.io团队进行缓解
- Rust团队: Eric Huss (修复Cargo)、Tobias Bieniek等 (分析crates.io)