Το project πίσω από τη δημοφιλή γλώσσα προγραμματισμού Rust έχει ανακαλέσει όλα τα κλειδιά API από την εφαρμογή web πακέτων crates.io.
Έγινε ανάκληση των κλειδιών αφού προέκυψε μια σοβαρή ευπάθεια που επηρεάζει το σύστημα πακέτων της Rust λόγω δύο παραγόντων. Πρώτον, οι προγραμματιστές Rust έμαθαν ότι η τυχαία συνάρτηση PostgreSQL που χρησιμοποιούσε για τη δημιουργία κλειδιών API ή token για το crates.io δεν ήταν μια “κρυπτογραφικά ασφαλής” γεννήτρια τυχαίων αριθμών.
“Θεωρητικά, ένας εισβολέας θα μπορούσε να παρατηρήσει αρκετές τυχαίες τιμές για να προσδιορίσει την εσωτερική κατάσταση της γεννήτριας τυχαίων αριθμών και να χρησιμοποιήσει αυτές τις πληροφορίες για να προσδιορίσει τα κλειδιά API που δημιουργήθηκαν μέχρι την τελευταία επανεκκίνηση του database server”, δηλώνει.
Τα κλειδιά API χρησιμοποιούνται από υπολογιστές για τον έλεγχο ταυτότητας χρήστη ή υπολογιστή και για τον έλεγχο των δικαιωμάτων πρόσβασης που διαθέτουν.
Δεύτερον, το Rust project ανακάλυψε ότι τα κλειδιά API για τα πακέτα αποθηκεύονταν σε απλό κείμενο. Εάν οι εισβολείς παραβίαζαν τη βάση δεδομένων, θα είχαν πρόσβαση API για όλα τα τρέχοντα tokens.
Το Rust project έχει πλέον αναπτύξει μια κρυπτογραφικά ασφαλή γεννήτρια τυχαίων αριθμών και έχει εφαρμόσει μια “hashing συνάρτηση” για την αποθήκευση των tokens στη βάση δεδομένων.
“Η εκμετάλλευση οποιουδήποτε ζητήματος θα ήταν απίστευτα ανέφικτη στην πράξη και δεν βρήκαμε κανένα αποδεικτικό στοιχείο ότι είχε πραγματοποιηθεί κάποια εισβολή. Ωστόσο, για την πλήρη ασφάλεια όλων, επιλέξαμε να ανακαλέσουμε όλα τα υπάρχοντα κλειδιά API”.
Οι προγραμματιστές που έχουν δημοσιεύσει πακέτα crates μπορούν να δημιουργήσουν ένα νέο κλειδί API στον ιστότοπο του crates.io.
Ο ιστότοπος crates.io δείχνει ότι υπάρχουν πάνω από 43.000 crates που έχουν ληφθεί συλλογικά πάνω από τρία δισεκατομμύρια φορές. Τα crates αποτελούν βασικό μέρος της γλώσσας προγραμματισμού Rust. Ο Deno, ο πιθανός διάδοχος του Node.js, γράφτηκε σε Rust και θεωρείται μια συλλογή crates και όχι ένα μονολιθικό πρόγραμμα.
Το Rust project φαίνεται ότι έδρασε γρήγορα στην έκθεση σχετικά με την ευπάθεια που έλαβε στις 11 Ιουλίου. Το ζήτημα επιδιορθώθηκε και τα tokens ανακλήθηκαν μαζί με μια ειδοποίηση αποκάλυψης στις 14 Ιουλίου.
