🚨 Rust Cargo 安全公告
漏洞概述
Rust 安全响应团队收到通知,发现 tar crate 存在安全漏洞,该 crate 被 Cargo 用于在构建时解包包。漏洞允许恶意 crate 在 Cargo 解包时更改文件系统上任意目录的权限。
影响: 恶意 crate 可在构建时修改任意目录权限,可能导致权限提升攻击
缓解措施
- crates.io 用户: 3月13日已部署更改防止上传利用此漏洞的 crate,并已审计所有历史 crate。确认 crates.io 上没有利用此漏洞的 crate。
- 其他注册表用户: 请联系注册表供应商确认是否受影响。
- Rust 1.94.1: 将于 2026年3月26日发布,更新到修补版本的 tar crate。
致谢
- 感谢 Sergei Zimmerman 发现底层 tar crate 漏洞并提前通知 Rust 项目
- 感谢 William Woodruff 直接协助 crates.io 团队进行缓解
- 感谢 Rust 项目成员:Eric Huss(Targo 修补)、Tobias Bieniek/Adam Harvey/Walter Pearce(crates.io 修补和审计)、Emily Albini/Josh Stone(响应协调)