Rust 安全響應(yīng)工作組發(fā)布了一個(gè)安全公告稱(chēng)，其在調(diào)查有關(guān)影響 crates.io Web 應(yīng)用程序中令牌生成的安全問(wèn)題時(shí)，發(fā)現(xiàn)了另一個(gè)影響 crates.io API 令牌的漏洞。因此，出于謹(jǐn)慎考慮，該團(tuán)隊(duì)決定撤銷(xiāo)所有現(xiàn)有的 API 密鑰。

　　想要在實(shí)踐中利用這兩個(gè)漏洞是非常不切實(shí)際的，而且我們也還沒(méi)有發(fā)現(xiàn)該漏洞已在野外被利用的證據(jù)。但出于謹(jǐn)慎考慮，我們選擇撤銷(xiāo)所有現(xiàn)有的 API 密鑰。您可以在 crates.io/me 上生成一個(gè)新的 API 密鑰。

　　Rust 方面表示，一直以來(lái)，用于 crates.io 的 API 密鑰都是使用 PostgreSQL 隨機(jī)函數(shù)生成的，但該函數(shù)并不是一個(gè)加密安全的隨機(jī)數(shù)生成器。這意味著從理論上講，攻擊者可以觀(guān)察到足夠的隨機(jī)值來(lái)確定隨機(jī)數(shù)生成器的內(nèi)部狀態(tài)，并使用此信息來(lái)確定以前創(chuàng)建的 API 密鑰，直到最后一次數(shù)據(jù)庫(kù)服務(wù)器重啟為止。

　　同時(shí)作為調(diào)查的一部分，其還發(fā)現(xiàn)了軟件包的 API 密鑰是以純文本格式存儲(chǔ)。這意味著，如果攻擊者破壞了數(shù)據(jù)庫(kù)，那么他們將具有所有當(dāng)前令牌的 API 訪(fǎng)問(wèn)權(quán)限。

　　目前，為了緩解這一漏洞，Rust 團(tuán)隊(duì)稱(chēng)，其已經(jīng)推出了一種加密安全的隨機(jī)數(shù)生成器，并實(shí)現(xiàn)了用于將令牌存儲(chǔ)在數(shù)據(jù)庫(kù)中的 hashing。

　　Rust 團(tuán)隊(duì)列出的有關(guān)時(shí)間線(xiàn)顯示：其于 7 月 11 日收到了這一漏洞報(bào)告;7 月 14 日則部署了修補(bǔ)程序，并撤銷(xiāo)了現(xiàn)有令牌，同時(shí)公開(kāi)披露了該問(wèn)題。

特別提醒：本網(wǎng)信息來(lái)自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀(guān)點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。