Vulnerabilidad en Cargo de Rust (CVE-2022-46176)

Cargo es un administrador de paquetes de Rust. Se notificó al Grupo de Trabajo de Respuesta de Seguridad de Rust que Cargo no realizó la verificación de la clave de host SSH al clonar índices y dependencias a través de SSH. Un atacante podría aprovechar esto para realizar ataques de intermediario (MITM). A esta vulnerabilidad se le ha asignado CVE-2022-46176. Todas las versiones de Rust que contienen Cargo anteriores a la 1.66.1 son vulnerables. Tenga en cuenta que incluso si no usa SSH explícitamente para índices de registro alternativos o dependencias de cajas, podría verse afectado por esta vulnerabilidad si ha configurado git para reemplazar las conexiones HTTPS a GitHub con SSH (a través de [`url..insteadOf`] de git). [1]), ya que eso haría que clonaras el índice de crates.io a través de SSH. Rust 1.66.1 garantizará que Cargo verifique la clave del host SSH y cancelará la conexión si la clave pública del servidor aún no es confiable. Recomendamos a todos que actualicen lo antes posible.