< 返回版块

【Rust日报】2025-12- 07 Rust 1.93 将更新 musl 版本到 1.2.5

苦瓜小仔 发表于 2025-12-06 21:02

Tags:日报

公告《Rust 1.93 将更新 musl 版本到 1.2.5》

Rust 团队宣布,从 Rust 1.93(预计 2026 年 1 月 22 日发布稳定版)开始,所有 -linux-musl 目标架构将正式捆绑 musl 1.2.5。此次更新主要影响 x86_64aarch64powerpc64le 等静态链接目标(此前停留在 1.2.3 版本)。

升级的主要目的是获取 musl 1.2.4 中引入的 DNS 解析器重大改进。这将显著提升静态链接的 Linux 二进制文件在处理大型 DNS 记录和递归域名服务器时的网络可靠性。

潜在影响与修复: musl 1.2.4 移除了部分旧版兼容符号(如 open64),这会导致长期未更新依赖的项目构建失败。

  • 故障表现:链接器报错 undefined reference to 'open64'
  • 受影响者:使用了 2023 年 6 月之前的旧版 libc crate 的项目(Crater 测试显示约 1.5% 的项目受影响)。
  • 解决方案:绝大多数情况下,执行 cargo update 即可解决。

此外,官方还修正了部分目标此前因配置疏忽被“静默升级”的问题,将所有相关目标统一锁定在 1.2.5 版本。

阅读:https://blog.rust-lang.org/2025/12/05/Updating-musl-1.2.5/

公告《crates.io 删除恶意库 finch-rust and sha-rust》

2025 年 12 月 5 日,crates.io 团队接到 Socket 威胁研究团队的通知,发现了两个恶意 Rust 包:finch-rustsha-rust。官方随即在当天 15:52 (UTC) 删除了这些包并封禁了上传者账号。

恶意包详情

  • finch-rust
    • 发布于 11 月 25 日,下载量仅 28 次。
    • 攻击手段:试图通过名称混淆(Typosquatting),让用户误以为是合法的 finch 包,其实际依赖于另一个恶意包 sha-rust
  • sha-rust
    • 在 11 月 20 日至 25 日期间发布了 8 个版本,下载量 153 次。
    • 恶意行为:负责执行具体的数据窃取(Data Exfiltration)操作。

处置与影响

  • 官方行动:上传用户 face-lessssss 被立即禁用,相关包被从 crates.io 下架,GitHub 仓库也已被移除。
  • 影响范围:经排查,crates.io 上没有任何其他包依赖于这两个恶意包。目前的下载量主要来自自动化的镜像同步和扫描服务,未发现广泛传播的证据。

阅读:https://blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/

文章《Cloudflare 于 2025 年 12 月 5 日发生故障》

事件概述 2025 年 12 月 5 日 08:47 (UTC),Cloudflare 发生了一次全球性服务中断,持续约 25 分钟。故障导致约 28% 的 HTTP 流量无法正常处理,大量用户访问网站时遭遇“500 内部服务器错误”,Shopify、Zoom 和 LinkedIn 等主要服务受到波及。

根本原因 官方确认此次事件并非网络攻击,而是由内部变更引发:

  • 起因:团队紧急推送了一项配置更新,旨在缓解一个新披露的 React Server Components 行业漏洞。
  • 技术细节:该变更在旧版代理架构(FL1)中触发了一个隐藏多年的代码逻辑错误(Lua 脚本中的空值引用),导致启用了特定托管规则的请求处理失败。新版架构(Rust编写)未受影响。

后续与反思 故障在回滚变更后于 09:12 恢复。这是继 11 月 18 日后的第二次重大事故。Cloudflare 对此深表歉意,承认旨在防止单点更新引发全局崩溃的改进措施尚未完全部署到位,并承诺将加快系统升级和测试流程的完善。

阅读:https://blog.cloudflare.com/5-december-2025-outage/

文章《Tor 项目从 C 语言重写为 Rust》

Tor 项目正将其核心代码库从 C 语言重写为 Rust(项目名为 Arti)的进展及其带来的隐私安全优势。

  1. 彻底告别内存安全隐患

    • 传统的 C 语言实现长期受到缓冲区溢出和内存破坏漏洞的困扰。
    • Arti (A Rust Tor Implementation) 利用 Rust 的内存安全特性,据估计能从设计上消除至少 50% 的历史安全缺陷,将潜在漏洞在编译阶段扼杀。

  2. Arti 1.8.0 版本亮点 (2025年12月发布)

    • 更智能的链路超时 (Proposal 368):将“新流请求”与“空闲链路关闭”的计时机制分离,并引入随机化关闭时间。这有效减少了因可预测的超时模式而导致的用户指纹识别风险。
    • 平滑迁移工具:新增 arti hsc ctor-migrate 命令,允许用户将旧版 C Tor 的洋葱服务密钥迁移至 Arti。
    • 加密升级:实现了 Counter Galois Onion (CGO) 加密,取代了旧的 SHA-1 验证,不仅支持前向保密,还重点防御了“标记攻击”(Tagging Attacks)。

  3. 开发进度与未来

    • 该项目始于 2020 年,获 Zcash 社区资助,于 2022 年达到生产就绪(1.0.0)。
    • 目前的开发重点是中继(Relay)功能的支持(如路由架构和目录缓存),这是完全替代 C 版本 Tor 的最后一块拼图。
    • 随着功能的完善,C 版本的 Tor 最终将成为历史遗留代码。

阅读:https://www.sambent.com/tor-ditches-c-for-rust-and-your-privacy-benefits/

--

From 日报小组 苦瓜小仔

社区学习交流平台订阅:

评论区

写评论

还没有评论

1 共 0 条评论, 1 页