原标题：严重宁静漏洞！Rust 团队决定打消 Crates package API 来源：开源中国

Rust 宁静相应事情组公布了一个宁静公告称，其在观察有关影响 crates.io Web 应用程序中令牌天生的宁静问题时，发明了另一个影响 crates.io API 令牌的漏洞。因此，出于审慎思量，该团队决定打消全部现有的 API 密钥。

想要在实践中利用这两个漏洞是非常不切现实的，而且我们也还没有发明该漏洞已在野外被利用的证据。但出于审慎思量，我们选择打消全部现有的 API 密钥。您可以在 crates.io/me 上天生一个新的 API 密钥。

Rust 方面表示，一直以来，用于 crates.io 的 API 密钥都是使用 PostgreSQL 随机函数天生的，但该函数并不是一个加密宁静的随机数天生器。这意味着从理论上讲，攻击者可以观察到足够的随机值来确定随机数天生器的内部状态，并使用此信息来确定从前创建的 API 密钥，直到末了一次数据库服务器重启为止。

同时作为观察的一部门，其还发明了软件包的 API 密钥是以纯文本格式存储。这意味着，如果攻击者破坏了数据库，那么他们将具有全部当前令牌的 API 访问权限。

目前，为了缓解这一漏洞，Rust 团队称，其已经推出了一种加密宁静的随机数天生器，并实现了用于将令牌存储在数据库中的 hashing。

Rust 团行列出的有关时间线显示：其于 7 月 11 日收到了这一漏洞陈诉；7 月 14 日则部署了修补程序，并打消了现有令牌，同时公然披露了该问题。