Mit der Veröffentlichung der Version 1.66.1 beheben die Entwickler der Programmiersprache Rust eine Sicherheitslücke, über die ein Man-in-the-Middle-Angriff (MITM) möglich wird.
Rust 1.66.1 behebt das Problem, dass der enthaltene Paketmanager Cargo die SSH-Hostschlüssel nicht verifiziert, wenn Abhängigkeiten oder Registry-Indizes mit SSH geklont werden. Diese Sicherheitslücke wird als CVE-2022-46176 gelistet. Die Lücke betrifft alle Rust-Versionen vor 1.66.1.
Wenn ein SSH-Client eine Kommunikation mit einem Server aufbaut, sollte der Client zur Vermeidung von MITM-Angriffen prüfen, ob er bereits in der Vergangenheit mit diesem Server kommuniziert hat und wie der öffentliche Schlüssel des Servers damals lautete, heißt es im Advisory zur Lücke. Wenn sich der Schlüssel seit der letzten Verbindung geändert hat, muss die Verbindung abgebrochen werden, da wahrscheinlich ein MITM-Angriff stattfindet. Es sei nun aber festgestellt worden, dass Cargo solche Überprüfungen nie implementiert und keine Validierung des öffentlichen Schlüssels des Servers durchgeführt hat, wodurch Cargo-Benutzer anfällig für MITM-Angriffe seien.
Im Advisory sind Anleitungen für die Upgrades aufgeführt und Alternativen beschrieben, sollte ein Update nicht sofort möglich sein.
