Пятница, 22 января, 00:23
дома безопасность Ржавчина: токены API ящиков вызываются из-за серьезного недостатка безопасности

Ржавчина: токены API ящиков вызываются из-за серьезного недостатка безопасности

Проект, стоящий за популярным языком программирования Rust, отозвал все ключи API из веб-приложения пакета crates.io.

Ключи были отозваны после того, как в системе пакетов Rust возникла серьезная уязвимость из-за двух факторов. Во-первых, разработчики Rust узнали, что случайная функция PostgreSQL, которую он использовал для генерации ключей API или токенов для crates.io, не была «криптически безопасным» генератором случайных чисел. чисел.

«Теоретически злоумышленник может наблюдать несколько случайных значений, чтобы определить внутреннее состояние случайного генератора. чисел и использовать эту информацию для идентификации ключей API, сгенерированных до последнего перезапуск сервера базы данных », - заявляет он.

Rust API

Ключи API используются компьютерами для аутентификации пользователя или компьютера и управления их правами доступа.

Во-вторых, проект Rust обнаружил, что ключи API для пакетов хранятся в виде простого текста. Если злоумышленники нарушат базу данных, они получат доступ к API для всех текущих токенов.

В рамках проекта Rust разработан криптографически безопасный генератор случайных чисел и реализована функция хеширования для хранения токенов в базе данных.

"Использовать любую проблему на практике было бы невероятно невозможно, и мы не нашли никаких доказательств элемент что некоторые имели место вторжение. Однако для полной безопасности мы решили отозвать все существующие ключи API ».

Разработчики, опубликовавшие пакеты crates, могут создать новый ключ API на веб-сайте crates.io.

Сайт crates.io показывает, что существует более 43.000 XNUMX ящиков, которые были загружены коллективно более трех миллиардов раз. Ящики являются ключевой частью языка программирование Ржавчина. Дено, возможный преемник Node.js, был написан на Rust и считается коллекцией ящиков, а не монолитной программой.

Похоже, что проект Rust быстро отреагировал на отчет об уязвимости, полученный 11 июля. Проблема была устранена, и токены были аннулированы вместе с уведомлением о раскрытии 14 июля.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Mac: как узнать, какая у вас модель и когда она была выпущена

Когда вам нужна поддержка для вашего Mac - или вы хотите установить какое-то обновление - вам обычно нужно знать точное ...
00: 02: 35

Билл Гейтс: Будет ли он работать с Байденом над COVID-19 / изменением климата?

Соучредитель Microsoft Билл Гейтс сказал в Твиттере, что с нетерпением ждет возможности поработать с новым президентом США Джо Байденом и ...

Какие слухи ходят об iPhone 13?

Apple iPhone 13 будет иметь переработанную систему Face ID, которая будет иметь меньшую выемку в верхней части экрана, ...

Байден: Как политический переход в США был отражен в социальных сетях?

Когда Джо Байден был приведен к присяге в качестве президента Соединенных Штатов, этот важный политический переход был запечатлен в популярных социальных сетях. 20 января ...

CentOS перестает поддерживаться, но RHEL предлагается бесплатно

В прошлом месяце Red Hat вызвала большое беспокойство в мире Linux, объявив о прекращении поддержки CentOS Linux.

Пароли сотрудников Microsoft Office 365 просочились в сеть!

Было обнаружено, что новая крупномасштабная фишинговая кампания, нацеленная на глобальные организации, позволяет обойти Microsoft Office 365 Advanced Threat Protection (ATP) и ...

COSMOTE и Microsoft предоставляют новые облачные решения для бизнеса

COSMOTE и Microsoft расширяют свое сотрудничество, предлагая еще более продвинутые и высококачественные облачные решения для больших и малых ...

Кибератаки в Восточной Европе растут!

Кибератаки, которые произошли во многих правительственных учреждениях и компаниях США в последние месяцы, вызвали обеспокоенность в развивающихся странах ...

Tesla снижает цены на Model 3 в Европе

Tesla снизила цены на Model 3 на многих европейских рынках, что частично может быть связано с ...

Пользователи iOS, Android и XBox под прицелом новой рекламной кампании

Недавно была обнаружена новая кампания вредоносной рекламы, нацеленная на пользователей мобильных и других подключенных устройств и использующая эффективные ...