Rust 1.34.0和1.34.1受到一个可能导致内存不安全的漏洞的影响

Rust 1.34.0和1.34.1受到一个可能导致内存不安全的漏洞的影响

上周，Rust团队获悉了Rust标准库中的一个漏洞，他们分享了这些漏洞。该漏洞是由Rust 1.34.0和1.34.1版本中一个函数引起的。编号为CVE-2019-12083。

漏洞是什么？

Rust标准库包含`Error::type_id`方法，该方法允许您获取基础错误类型的TypeId（类型的全局唯一标识符）以向下转换回原始类型。当手动实现该方法或与“Error::downcast’”系列函数交互以将类型强制转换为错误类型时，会发生此漏洞。

虽然标准库具有`Error::type_id`的默认实现，但它也可以由下游包进行手动实现。这可能会导致安全问题，例如越界读写。如果您的代码没有'`Error::type_id`的手动实现，那么它是安全的。

此漏洞影响上个月发布的两个版本Rust 1.34.0和1.34.1。此外，由于该函数是从Rust 1.0.0开始的所有版本的一部分，因此该漏洞也可能影响使用nightly版本。

有哪些缓解措施？

Rust团队建议立即删除Error::type_id的手动实现，并继承默认实现，这是一个安全的选项。作为一项长期措施，该团队计划破坏此功能的稳定性，这对于调用Error::type_id的用户和覆盖Error::type_id的用户来说将是一个重大变化。

该团队进一步写道：“我们将在2019-05-14发布1.34.2版本，该版本将恢复#58048并破坏Error::type_id函数的稳定性。即将推出的1.35.0版本以及测试版/nightly版本也将以不稳定性进行更新。“

更多详情阅读Rust官方网站上的完整公告。

下面关于Rust的文章您也可能喜欢，不妨参考下：

• Rust 1.8发布下载，放弃了Unix系统的Make编译系统 https://www.linuxboy.net/Linux/2016-04/130451.htm
• Rust 1.2 稳定版发布下载，Mozilla 编程语言  https://www.linuxboy.net/Linux/2015-08/121290.htm
• 为什么我说 Rust 是靠谱的编程语言  https://www.linuxboy.net/Linux/2015-05/117711.htm
• Rust 1.2带来了更快的编译速度和并行代码生成  https://www.linuxboy.net/Linux/2015-08/121830.htm
• Rust语言2017年调查报告  https://www.linuxboy.net/Linux/2017-09/146799.htm
• 为什么Linux用户应该尝试Rust  https://www.linuxboy.net/Linux/2018-09/1544.htm
• 如何在 Linux 中安装 Rust 编程语言  https://www.linuxboy.net/Linux/2019-01/156211.htm
• 如何在Linux中安装Rust编程语言 https://www.linuxboy.net/Linux/2019-03/157229.htm
• Rust 1.32 发布，默认禁用Jemalloc  https://www.linuxboy.net/Linux/2019-01/156429.htm

Rust 的详细介绍：请点这里
Rust 的下载地址：请点这里

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2019-05/158684.htm