In Cargo, einem Package Manager für Rust, wurde eine Sicherheitslücke gefunden, die mit der Veröffentlichung von Rust 1.66.1 geschlossen wurde.
Aufgrund einer fehlenden SSH Host-Key Überprüfung beim Klonen von Indices und Abhängigkeiten ist Cargo anfällig gegenüber Man in the Middle Angriffen. Dieser Sicherheitslücke wurde CVE-2022-46176 zugewiesen und mit einem CVSS Score von 5.3 bewertet. Alle Rust Versionen vor 1.66.1 sind von dieser Sicherheitslücke betroffen.
Host-Key Überprüfung
Um Man in the Middle Angriffe über SSH zu verhindern, muss der SSH Host Key überprüft werden. Sollte sich der Host Key geändert haben, muss die Verbindung abgebrochen werden. Bei der Sicherheitsüberprüfung wurde festgestellt, dass diese Funktion bisher nicht in Cargo implementiert war.
Diese Sicherheitslücke ermöglicht Supply-Chain-Angriffe bei der Entwicklung bzw. Erstellung von Software, indem ein Angreifer die Verbindung auf einen anderen Server umleitet und anstelle des originalen Git Repositories ein verändertes Repository zur Verfügung stellt, das Ransomware und anderen Schadcode beinhalten kann.
Zeitnahes Update empfohlen
Es ist empfohlen, zeitnah auf Rust 1.66.1 oder aktueller zu wechseln, das eine abgesicherte Version von Cargo bereitstellt. Sollte ein Update von Rust nicht möglich sein, muss die Konfiguration von Cargo dahingehend verändert werden, dass diese als Quelle git aus dem OpenSSH Projekt verwendet, anstatt der von Cargo integrierten Git-Unterstützung. Folgende Einstellung ist hierfür in der Cargo-Konfigurationsdatei erforderlich:
[net]
git-fetch-with-cli = true Diese Sicherheitslücke wurde vom Julia Security Team gefunden und im Rahmen eines Responsible Disclosure an das Rust Team gemeldet.