Rust 1.91.0 发布
Rust 1.91.0 稳定版新增内容:
aarch64-pc-windows-msvc目标平台升级为 Tier 1 级别- 对 “从局部变量生成悬垂原始指针” 的 lint 检查
- 稳定化一批 API
完整变更内容见:https://blog.rust-lang.org/2025/10/30/Rust-1.91.0/
tempotime - 一个日期时间库
tempotime 是一个日期时间库,受 Luxon.js 的启发,主要特性有:
- 零依赖。如果单纯处理 UTC 时间的话,它不需要引入任何额外的依赖库
- 不可变设计。每个操作都是返回一个新的值,不会修改原来的值
- 链式调用
- 时区支持(可选特性)
- 和 Luxon 兼容的格式字符串
Github: https://github.com/hyoussef07/tempotime
tokio-tar 存在严重漏洞,凸显 Rust 供应链风险
安全公司 Edera 发现热门异步 TAR 归档工具库 tokio-tar 中存在一个高危漏洞。该漏洞被命名为 “TARmageddon”,在 Rust 生态系统中引发重大风险,且影响了 Astral 的 uv、wasmCloud 等重要项目。
此漏洞并非内存安全问题,而是逻辑漏洞。该库解析 TAR 文件头的方式存在缺陷,攻击者可借此在嵌套归档文件中夹带恶意文件。这可能导致远程代码执行,因此其 CVSS 评分达 8.1 分,官方漏洞跟踪编号为 CVE-2025-62518。
潜在攻击途径包括:
- 劫持 CI/CD 流水线中的构建后端
- 注入未授权内容,污染容器镜像
- 绕过仅检查外层归档文件的安全扫描器
当前面临的问题是:原始 tokio-tar crate 已经好久没有维护,似乎已被废弃。好消息是,仍在维护的分支负责人已采取行动,推出了包含漏洞修复的版本。若你的项目使用了 tokio-tar,应迁移至仍在维护的分支,例如 astral-tokio-tar。
该事件的重要意义:
这一事件提醒我们:尽管 Rust 能防范各类内存漏洞,但它并非保障安全的 “万能药”。逻辑漏洞与无人维护的依赖项仍是关键安全弱点。未修复漏洞的 tokio-tar crate 在 crates.io 上的下载量已超过 500 万次,这一数据凸显了开源供应链中潜藏的风险规模。
原文:https://cargo-run.news/p/critical-vulnerability-exposes-rust-supply-chain-risk
--
From 日报小组 Yuan YQ
社区学习交流平台订阅:
评论区
写评论还没有评论