Вторник, 27 октября, 19:13
дома безопасность Ржавчина: токены API ящиков вызываются из-за серьезного недостатка безопасности

Ржавчина: токены API ящиков вызываются из-за серьезного недостатка безопасности

Проект, стоящий за популярным языком программирования Rust, отозвал все ключи API из веб-приложения пакета crates.io.

Ключи были отозваны после того, как возникла серьезная уязвимость, затрагивающая систему пакетов Rust из-за двух факторов. Во-первых, разработчики Rust узнали, что случайная функция PostgreSQL, используемая для генерации API-ключей или токенов для crates.io, не является «криптографически безопасным» генератором случайных чисел. чисел.

«Теоретически, злоумышленник может наблюдать несколько случайных значений, чтобы определить внутреннее состояние генератора случайных чисел. чисел и использовать эту информацию для идентификации ключей API, сгенерированных до последнего перезапуск сервера базы данных ", утверждает он.

Rust API

Ключи API используются компьютерами для аутентификации пользователя или компьютера и управления их правами доступа.

Во-вторых, проект Rust обнаружил, что ключи API для пакетов хранятся в виде простого текста. Если злоумышленники нарушат базу данных, они получат доступ к API для всех текущих токенов.

Проект Rust теперь разработал зашифрованный генератор случайных чисел и внедрил «функцию хеширования» для хранения токенов в базе данных.

«Использование любой проблемы было бы невероятно невозможным на практике, и мы не нашли никаких доказательств элемент что некоторые имели место вторжение, Однако для полной безопасности мы решили отозвать все существующие ключи API ».

Разработчики, опубликовавшие пакеты crates, могут создать новый ключ API на веб-сайте crates.io.

Сайт crates.io показывает, что существует более 43.000 XNUMX ящиков, которые были загружены коллективно более трех миллиардов раз. Ящики являются ключевой частью языка программирование Ржавчина. Дено, возможный преемник Node.js, был написан на Rust и считается коллекцией ящиков, а не монолитной программой.

Похоже, что проект Rust быстро отреагировал на отчет об уязвимости, полученный 11 июля. Проблема была устранена, и токены были аннулированы вместе с уведомлением о раскрытии 14 июля.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...