Rust 安全響應(yīng)工作組發(fā)布了一個(gè)安全公告稱，其在調(diào)查有關(guān)影響 crates.io Web 應(yīng)用程序中令牌生成的安全問(wèn)題時(shí)，發(fā)現(xiàn)了另一個(gè)影響 crates.io API 令牌的漏洞。因此，出于謹(jǐn)慎考慮，該團(tuán)隊(duì)決定撤銷所有現(xiàn)有的 API 密鑰。

　　想要在實(shí)踐中利用這兩個(gè)漏洞是非常不切實(shí)際的，而且我們也還沒(méi)有發(fā)現(xiàn)該漏洞已在野外被利用的證據(jù)。但出于謹(jǐn)慎考慮，我們選擇撤銷所有現(xiàn)有的 API 密鑰。您可以在 crates.io/me 上生成一個(gè)新的 API 密鑰。

　　Rust 方面表示，一直以來(lái)，用于 crates.io 的 API 密鑰都是使用 PostgreSQL 隨機(jī)函數(shù)生成的，但該函數(shù)并不是一個(gè)加密安全的隨機(jī)數(shù)生成器。這意味著從理論上講，攻擊者可以觀察到足夠的隨機(jī)值來(lái)確定隨機(jī)數(shù)生成器的內(nèi)部狀態(tài)，并使用此信息來(lái)確定以前創(chuàng)建的 API 密鑰，直到最后一次數(shù)據(jù)庫(kù)服務(wù)器重啟為止。

　　同時(shí)作為調(diào)查的一部分，其還發(fā)現(xiàn)了軟件包的 API 密鑰是以純文本格式存儲(chǔ)。這意味著，如果攻擊者破壞了數(shù)據(jù)庫(kù)，那么他們將具有所有當(dāng)前令牌的 API 訪問(wèn)權(quán)限。

　　目前，為了緩解這一漏洞，Rust 團(tuán)隊(duì)稱，其已經(jīng)推出了一種加密安全的隨機(jī)數(shù)生成器，并實(shí)現(xiàn)了用于將令牌存儲(chǔ)在數(shù)據(jù)庫(kù)中的 hashing。

　　Rust 團(tuán)隊(duì)列出的有關(guān)時(shí)間線顯示：其于 7 月 11 日收到了這一漏洞報(bào)告;7 月 14 日則部署了修補(bǔ)程序，并撤銷了現(xiàn)有令牌，同時(shí)公開(kāi)披露了該問(wèn)題。