Rust Cargo 雙漏洞 CVE-2026-5223 與 CVE-2026-5222:第三方 Registry 的 Symlink 與 URL 正規化問題,1.96.0 修復
Rust Blog · 2026-05-25
Rust 安全團隊同日發布兩個 Cargo 安全公告,均影響使用第三方 sparse index registry 的場景,crates.io 使用者不受影響。兩個漏洞均在 Rust 1.96.0(預計 2026-05-28 發布)中修復。
CVE-2026-5223:Symlink 注入攻擊(中等嚴重度)
Cargo 在從第三方 registry 下載 crate tarball 時,未正確拒絕 tarball 中包含的 symlink。攻擊者可以精心構造一個 tarball,讓 symlink 在解壓縮時指向快取目錄上一層的位置,進而覆蓋同一個 registry 下其他 crate 的快取內容。
漏洞機制:Cargo 的 crate 快取結構為 ~/.cargo/registry/cache/{registry}/{crate}-{version}.crate,解壓縮後放入 ~/.cargo/registry/src/{registry}/{crate}-{version}/。包含 ../ 路徑的 symlink 可以突破這個目錄邊界,修改相鄰 crate 的快取副本,導致依賴被替換為攻擊者控制的版本。修復方案:Rust 1.96.0 的 Cargo 改為在解壓縮時拒絕 tarball 中的所有 symlink。
CVE-2026-5222:Sparse Registry URL 正規化(低嚴重度)
Cargo 在處理 sparse index protocol(sparse+https://)的 registry URL 時,錯誤地將 .git 後綴剝除,套用了只適用於 git 協定的正規化邏輯。這可能在特定 hosting 配置下,讓攻擊者使兩個不同的 registry URL 被視為同一個 registry,進而在憑證共享情況下觸發憑證洩漏。
受影響版本:Rust 1.68(sparse registry 穩定化版本)到 Rust 1.95。實際利用需要攻擊者能同時控制同一域名下的兩個 registry,攻擊條件苛刻,因此評為低嚴重度。修復:Rust 1.96.0 將 .git 後綴剝除限制為僅適用 git 協定 URL。
修補與緩解
- 升級至 Rust 1.96.0(2026-05-28 預計釋出)
- 使用 crates.io 的開發者不受影響
- 使用第三方 registry 的企業環境:審查 registry 是否有可能上傳 symlink 的權限控制
荷蘭查扣 800 台伺服器、逮捕 2 人:支援俄羅斯系駭客的 MIRhosting 基礎設施瓦解
KrebsOnSecurity · 2026-05-26
荷蘭財政稅務調查局(FIOD)於 2026 年 5 月 18 日在 Dronten 與 Schiphol-Rijk 的資料中心展開搜查,查扣超過 800 台伺服器,並逮捕兩人:MIRhosting 運營者 Andrey Nesterenko(39 歲,俄羅斯裔)與 Youssef Zinad(57 歲,阿姆斯特丹)。被查扣的基礎設施是多個俄羅斯系駭客組織發動 DDoS 攻擊、代理服務與匿名操作的核心節點。
基礎設施關係鏈
此次查扣涉及一個多層嵌套的 hosting 實體網路:
- Stark Industries Solutions:在俄羅斯入侵烏克蘭前兩週突然出現,成為眾多俄羅斯系 DDoS 與代理攻擊的主要 IP 來源,已遭歐盟制裁
- PQHosting:原為 Stark Industries 提供主要網路連線;2025 年 5 月,PQHosting 的 Neculiti 兄弟(摩爾多瓦籍)被追加制裁後,業務移轉
- WorkTitans BV:接手 PQHosting 制裁後的 the[.]hosting 平台,Zinad 關聯
- MIRhosting:Nesterenko 控制,提供整個鏈條的網路連線(ISP 層)
攻擊規模
荷蘭當局與丹麥政府共享的資料顯示,MIRhosting 網路是2025 年 11 月 13–19 日丹麥市政選舉期間針對丹麥政府機構最常用的攻擊來源網路。同時,該網路也被用於歐盟範圍內的多次 DDoS 與資訊戰操作。
Nesterenko 的歷史可追溯更早:其母公司 Innovation IT Solutions Corp.(2004 年成立)曾在 2008 年俄羅斯-喬治亞戰爭期間,託管駭客主義協調站點 stopgeorgia[.]ru。
法律依據與影響
逮捕依據是違反歐盟制裁法——向受制裁實體提供經濟資源,而非直接的網路犯罪指控。這是一個重要的執法策略轉變:透過制裁合規框架打擊 hosting 提供商,而非等待蒐集到直接網路犯罪證據。800 台伺服器的查扣將直接中斷依賴此基礎設施的多個 APT 組織的操作能力,但歷史經驗顯示這類組織通常在數週內找到替代 hosting。
原始來源:KrebsOnSecurity
Android 2026 安全更新:AI 詐騙防護、身份驗證強化與進階防竊模式
Google Security Blog · 2026-05-25
Google 發布 2026 年度 Android 安全與隱私功能總結,重點圍繞三個工程面向:AI 驅動的詐騙偵測、身份驗證架構強化,以及針對實體設備竊盜的進階防護機制。
AI 詐騙偵測
Google Phone 應用整合了即時通話詐騙偵測功能,在裝置本地(on-device)使用 Gemini Nano 模型分析通話內容,識別常見的社會工程話術模式(如假冒銀行要求轉帳、假技術支援等)。整個推理在裝置上執行,通話音頻不上傳至雲端。Pixel 系列對 Android 訊息應用也增加了詐騙 SMS 偵測,同樣採用本地模型。
身份驗證強化
Android 15 引入的進階 PIN 保護(Enhanced PIN Security)在本版本擴大推廣:要求在重新啟動後強制使用 PIN 或密碼,而非僅使用生物辨識,消除部分「攻擊者利用強制重啟繞過生物辨識」的攻擊向量。Passkey 支援在 Android 上的覆蓋度也持續擴大,Google Password Manager 的 Passkey 同步現支援跨 Android 裝置。
防竊模式
Theft Protection 功能現在包含三層:Theft Detection Lock(偵測到疑似被搶奪的動作模式時自動鎖定)、Offline Device Lock(裝置離線超過一定時間後自動鎖定)、Remote Lock(可在不知道 Google 帳號密碼的情況下,僅憑電話號碼與身份驗證遠端鎖定)。這三層防護覆蓋了「開機鎖定 → 網路斷線 → 實體持有」的不同攻擊情境。
原始來源:Google Security Blog