严重的安全漏洞!防锈小组决定取消板条箱包装

2020-07-17 10:40 来源:IT之家

Rust安全响应工作组发布了一份安全公告,称在调查影响crates.ioWeb应用程序中令牌生成的安全问题时,发现了另一个影响crates.io API令牌的漏洞。因此,出于谨慎,该团队决定撤销所有现有的应用编程接口密钥。

在实践中利用这两个漏洞是不切实际的,而且我们没有发现任何证据表明这些漏洞已经在野外被利用了。但是出于谨慎,我们选择撤销所有现有的应用编程接口密钥。您可以在crates.io/me.上生成新的应用编程接口密钥

Rust说,一直以来,用于crates.io的API密钥都是由PostgreSQL随机函数生成的,但是这个函数不是一个加密的安全随机数生成器。这意味着,从理论上讲,攻击者可以观察到足够多的随机值来确定随机数生成器的内部状态,并使用这些信息来确定之前创建的应用编程接口密钥,直到数据库服务器最后一次重新启动。

同时,作为调查的一部分,它还发现软件包的应用编程接口密钥是以纯文本格式存储的。这意味着,如果攻击者破坏数据库,他们将拥有对所有当前令牌的应用编程接口访问。

目前,为了缓解这一漏洞,Rust团队表示,他们已经引入了一个加密和安全的随机数生成器,并实现了在数据库中存储令牌的哈希算法。

Rust团队列出的相关时间表显示,它在7月11日收到了此漏洞报告;7月14日,补丁被部署,现有令牌被撤销,问题被公开披露。