官方动态

编辑：张汉东

官方 | 来推动 GAT 稳定吧

GAT RFC 从2016年启动，到今年已经五年了，现在终于接近稳定状态了。GAT 是 Rust github 仓库里期待率最高的一个问题。

现在经过编译器的大量修改，终于让 GAT 达到了一个 「完整」状态，虽然还有一些诊断问题，但现在你在 nightly 下使用 GAT 将不会看到 “generic_associated_types is incomplete”这种错误。 但是现在想 稳定 GAT ，还需要大家来帮助测试此功能，为你发现但任何错误或潜在的诊断改进提出问题。并且官方还希望可以在 GAT 上实现一些有趣的模式。

如果不出意外，未来几个月内稳定应该会比较顺利。

详细内容请看原文吧，原文也介绍了什么是 GAT 。

https://blog.rust-lang.org/2021/08/03/GATs-stabilization-push.html

wasm-bindgen 发布新版本

虽然官方 Rust WebAssembly 工作组的博客已经停更快两年了，但是实际他们的工作还是在继续的。

最近的更新：

• 升级 webpack 示例中 npm 包的依赖版本
• 添加 no_deref 属性以选择不为导入的类型生成 deref 实现
• 通过非零初始化缓冲区来提高 TypedArray::to_vec 性能
• 升级最新的WebGPU WebIDL

https://github.com/rustwasm/wasm-bindgen

Rustdoc 中源码页面中支持跳转到定义功能

比如，在标准库文档中源码（src）页面看到类似下面的代码：

#![allow(unused)]
fn main() {
mod other_module;
struct Foo;
fn bar() {}

fn x<T: other_module::Trait>(f: Foo, g: other_module::Whatever, t: &T) {
    let f: Foo = Foo;
    bar();
    f.some_method();
}
}

其中，other_module::Trait, Foo, other_module::Whatever, bar 和 some_method 都会出现链接，点击链接可以跳转到其定义页面。

如果有来自另一个crate 的类型，它会链接到它的文档页面而不是它的定义（但你可以点击 [src]）。

https://github.com/rust-lang/rust/pull/84176

[CVE-2021-29922] Rust 标准库net 模块漏洞： 前导零改变 IP 地址

本周，在DEF CON上，安全研究人员Cheng Xu、Victor Viale、Sick Codes、Nick Sahler、Kelly Kaoudis、opennota和John Jackson披露了Go和Rust语言的net模块的一个缺陷。CVE-2021-29922（针对Rust） 和 CVE-2021-29923（针对Golang）。

IP地址可以用多种格式表示，包括十六进制和整数，不过最常见的IPv4地址是用十进制格式表示的。

例如，BleepingComputer的IPv4地址以十进制格式表示为104.20.59.209，但同样的地址也可以以八进制格式表示为：0150.0024.0073.0321。

假设你得到一个十进制格式的IP地址，127.0.0.1，这被广泛理解为本地回环地址或localhost。

如果你在它前面加上一个0，应用程序是否仍应将0127.0.0.1解析为127.0.0.1或其他什么？在Chrome的地址栏中输入0127.0.0.1，浏览器会将其视为八进制格式的IP。在按下回车键或返回键时，该IP实际上变成了十进制的87.0.0.1，这就是大多数应用程序应该处理这种模糊的IP地址的方式。

根据IETF的原始规范，IPv4地址的部分内容如果前缀为 "0"，可以解释为八进制。

但是Go和Rust中的net模块都忽略了这一点，将部分地址视为十进制。

rust 1.52.1 std::net 及以下版本中IP地址输入未按八进制处理而导致不确定的 SSRF 和 RFI 漏洞。

例如，攻击者向依赖std::net::IpAddr的网络程序提交IP地址，可以通过输入位组的输入数据引起 SSRF；

如果位组（octet）是3位，攻击者可以提交可利用的IP地址，最小可利用的位组是08（拒绝服务），最大可利用的位组是099（拒绝服务）。

例如，攻击者可以提交010.8.8.8，也就是8.8.8.8（RFI），然而std::net::IpAddr将计算为10.8.8.8。同样，攻击者可以输入127.0.026.1，这实际上是127.0.22.1，但Rust将其计算为127.0.26.1。

• SSRF是Server-side Request Forge的缩写，中文翻译为服务端请求伪造。
• RFI 是Remote File Inclusion的缩写，客户端可控制网页包含远程文件。

受影响 Rust 版本： 1.52.1 及以下。

该漏洞已于三月份修复： https://github.com/rust-lang/rust/pull/83652

PoC 代码：

// ##!/usr/bin/env rustc
// # Authors:      https://twitter.com/sickcodes, https://twitter.com/kaoudis
// # License:      GPLv3+

use std::net::IpAddr;

fn main() {
  let addr = "127.026.0.1".parse::<IpAddr>().unwrap();
  println!("{}", addr.to_string());
  let addr1 = "127.0.026.1".parse::<IpAddr>().unwrap();
  println!("{}", addr1.to_string());
  let addr2 = "127.0.0.093".parse::<IpAddr>().unwrap();
  println!("{}", addr2.to_string());
  let addr3 = "099.0.0.01".parse::<IpAddr>().unwrap();
  println!("{}", addr3.to_string());
}

// $ rustc -o main main.rs
// $ ./main
// 127.26.0.1
// 127.0.26.1
// 127.0.0.93
// 99.0.0.1

• https://github.com/sickcodes/security/blob/master/advisories/SICK-2021-015.md
• https://www.bleepingcomputer.com/news/security/go-rust-net-library-affected-by-critical-ip-address-validation-vulnerability/

相关：

黑客大会 defconf29 演讲之一 ： 烂代码、老化标准和 IPv4 解析

针对 Rust / Go 前导零改变 IP 地址相关漏洞的演讲

https://www.youtube.com/watch?v=_o1RPJAe4kU

Deprecate llvm_asm! 的 pr 已经被合并了

过期 llvm_asm!，而用新的 asm!来代替。

https://github.com/rust-lang/rust/pull/87590#issuecomment-899111280

Rust IO Safety RFC 已经被实现

这是为操作系统资源增加所有权语义的第一步！

https://github.com/rust-lang/rust/pull/87329

Gcc Rust 月报

注意：GCC Rust（gccrs） 是给 gcc 增加 Rust 前端，而现在 Rust 后端正在准备合并的是 rustc_codegen_gcc，是给 Rust 增加 gcc 后端。

两者目标不同。

• https://github.com/Rust-GCC/gccrs
• https://thephilbert.io/2021/08/02/gcc-rust-monthly-report-8-july-2021/

Rust 1.56 中即将发布增强版的错误消息格式

cargo 构建时如果发生错误将用类似于 diff 的方式显示输出建议帮助开发者修改程序。

https://github.com/rust-lang/rust/pull/86532