Rust 安全響應(yīng)工作組發(fā)布了一個安全公告稱，其在調(diào)查有關(guān)影響 crates.io Web 應(yīng)用程序中令牌生成的安全問題時，發(fā)現(xiàn)了另一個影響 crates.io API 令牌的漏洞。因此，出于謹(jǐn)慎考慮，該團(tuán)隊(duì)決定撤銷所有現(xiàn)有的 API 密鑰。

　　想要在實(shí)踐中利用這兩個漏洞是非常不切實(shí)際的，而且我們也還沒有發(fā)現(xiàn)該漏洞已在野外被利用的證據(jù)。但出于謹(jǐn)慎考慮，我們選擇撤銷所有現(xiàn)有的 API 密鑰。您可以在 crates.io/me 上生成一個新的 API 密鑰。

　　Rust 方面表示，一直以來，用于 crates.io 的 API 密鑰都是使用 PostgreSQL 隨機(jī)函數(shù)生成的，但該函數(shù)并不是一個加密安全的隨機(jī)數(shù)生成器。這意味著從理論上講，攻擊者可以觀察到足夠的隨機(jī)值來確定隨機(jī)數(shù)生成器的內(nèi)部狀態(tài)，并使用此信息來確定以前創(chuàng)建的 API 密鑰，直到最后一次數(shù)據(jù)庫服務(wù)器重啟為止。

　　同時作為調(diào)查的一部分，其還發(fā)現(xiàn)了軟件包的 API 密鑰是以純文本格式存儲。這意味著，如果攻擊者破壞了數(shù)據(jù)庫，那么他們將具有所有當(dāng)前令牌的 API 訪問權(quán)限。

　　目前，為了緩解這一漏洞，Rust 團(tuán)隊(duì)稱，其已經(jīng)推出了一種加密安全的隨機(jī)數(shù)生成器，并實(shí)現(xiàn)了用于將令牌存儲在數(shù)據(jù)庫中的 hashing。

　　Rust 團(tuán)隊(duì)列出的有關(guān)時間線顯示：其于 7 月 11 日收到了這一漏洞報(bào)告;7 月 14 日則部署了修補(bǔ)程序，并撤銷了現(xiàn)有令牌，同時公開披露了該問題。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。