피드로 돌아가기
Rust BlogSecurity
원문 읽기
Security advisory for Cargo
Rust Security Response Team이 tar 크레이트의 CVE-2026-33056 취약점을 패치하고 crates.io 레지스트리 검증으로 악성 크레이트 업로드 차단
AI 요약
Context
Cargo가 패키지 추출 시 사용하는 서드파티 크레이트 tar에서 발견된 취약점으로 악의적인 크레이트가 빌드 과정 중 임의의 디렉토리 권한을 변경할 수 있었다.
Technical Solution
- tar 크레이트 업데이트: 취약점이 패치된 버전으로 업그레이드하여 Rust 1.94.1에 포함
- crates.io 업로드 검증 추가: 2026년 3월 13일에 취약점을 악용하는 크레이트의 업로드 방지 메커니즘 배포
- 기존 크레이트 감시: crates.io에 게시된 모든 크레이트에 대해 취약점 악용 여부를 포함한 감사 실시
- 교차 레지스트리 공지: 공식 레지스트리 외 대체 레지스트리 사용자는 벤더 확인 권고
Impact
crates.io 감사 결과 취약점을 악용하는 크레이트가 0개 확인됨.
Key Takeaway
보안 취약점 대응 시 업스트림 패치 적용뿐 아니라 사용자 환경에서의 실제 악용 여부를 사후 검증하고 미래의 악용을 차단하는 이중 계층의 방어 전략이 필수적이다.
실천 포인트
오픈소스 패키지 레지스트리 운영팀은 보안 취약점 발견 시 단순 패치 배포만이 아니라 과거 배포된 패키지에 대한 사후 감사와 향후 악성 패키지 업로드를 사전 차단하는 자동 검증 시스템을 함께 구축해야 한다.