存在严重安全漏洞,Rust 团队决定撤销 Crates package API 密钥
Rust 安全响应工作组发布了一个安全公告称,其在调查有关影响 crates.io Web 应用程序中令牌生成的安全问题时,发现了另一个影响 crates.io API 令牌的漏洞。因此,出于谨慎考虑,该团队决定撤销所有现有的 API 密钥。
”想要在实践中利用这两个漏洞是非常不切实际的,而且我们也还没有发现该漏洞已在野外被利用的证据。但出于谨慎考虑,我们选择撤销所有现有的 API 密钥。您可以在 crates.io/me 上生成一个新的 API 密钥。“
Rust 方面表示,一直以来,用于 crates.io 的 API 密钥都是使用 PostgreSQL 随机函数生成的,但该函数并不是一个加密安全的随机数生成器。这意味着从理论上讲,攻击者可以观察到足够的随机值来确定随机数生成器的内部状态,并使用此信息来确定以前创建的 API 密钥,直到最后一次数据库服务器重启为止。
同时作为调查的一部分,其还发现了软件包的 API 密钥是以纯文本格式存储。这意味着,如果攻击者破坏了数据库,那么他们将具有所有当前令牌的 API 访问权限。
目前,为了缓解这一漏洞,Rust 团队称,其已经推出了一种加密安全的随机数生成器,并实现了用于将令牌存储在数据库中的 hashing。
Rust 团队列出的有关时间线显示:其于 7 月11 日收到了这一漏洞报告;7 月 14 日则部署了修补程序,并撤销了现有令牌,同时公开披露了该问题。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Seata 1.3.0 重磅发布,支持多主键,自动升降级
Seata 1.3.0 发布。 Seata 是一款开源的分布式事务解决方案,提供高性能和简单易用的分布式事务服务。 1.3.0 版本支持了像多主键,自动升降级等大量feature,性能得到大幅度提升,修复了旧版本的大量bug。 此版本更新如下: feature: [#2398] 支持 MySQL 多主键 [#2484] 支持 Redis 存储模式 [#2817] Saga 流程设计器 Groovy Script Task [#2646] Server 支持 HikariCP 数据源 [#2253] 支持根据连续错误数动态升降级 [#2565] 支持事务注解类标注 [#2510] 协议新增 LZ4 压缩支持 [#2622] Server 支持版本检查 [#2658] 支持 Oracle 同一实例下不同用户的事务 [#2620] 支持使用 Nacos 注册中心配置 group 属性 [#2699] 支持 ACM 配置中心 [#2509] 支持 update 操作回滚所有数据列和更新列 [#2584] StateHandlerInterceptor 和 StateRouterIntercep...
- 下一篇
挑战摩尔定律极限,揭秘阿里云神龙的"封神"之路
云栖号资讯:【点击查看更多行业资讯】在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 7月15日,阿里云宣布推出第三代神龙云服务器,向全球提供顶级算力。与上一代相比,第三代神龙云服务器的综合性能提升高达160%,比目前全球最顶级的云服务器还要快30%以上,整体算力全球最强。 第三代神龙云服务器产品家族提供了最多208核、最大6TB内存,云盘IOPS高达 100万、网络转发高达2400万、网络带宽高达100G的性能;支持CPU、GPU、NPU、FPGA等多种计算形态,具备3分钟交付50万核vCPU的极速扩容能力,是云原生的最佳载体。 第三代神龙云服务器 在去年推出的第三代神龙架构的基础上,第三代神龙云服务器再次将算力逼向极限,在摩尔定律失效的今天,阿里云以整体算力平均每12个月翻一番的速度,向摩尔定律的极限发起挑战。除了超越物理机的表现外,第三代神龙云服务器还延续了其一贯的弹性能力,这一能力也持续为钉钉、微博、12306、上汽集团、吉利汽车,以及双十一等项目提供支持。 而这一切的背后,不仅是阿里云十年来艰苦卓绝的技术攻坚,同时也是「中国创新」的缩影。 1 神龙的诞生 时间回...
相关文章
文章评论
共有0条评论来说两句吧...