cargo audit throws error on ed25519-dalek in v1.1.10
While trying to package arti for openSUSE Tumbleweed, I encountered the following error message in cargo audit
~/o/n/a/arti ((arti-v1.1.10))> cargo audit
Fetching advisory database from `https://github.com/RustSec/advisory-db.git`
Loaded 578 security advisories (from /home/.../.cargo/advisory-db)
Updating crates.io index
Scanning Cargo.lock for vulnerabilities (558 crate dependencies)
Crate: ed25519-dalek
Version: 1.0.1
Title: Double Public Key Signing Function Oracle Attack on `ed25519-dalek`
Date: 2022-06-11
ID: RUSTSEC-2022-0093
URL: https://rustsec.org/advisories/RUSTSEC-2022-0093
Solution: Upgrade to >=2
Dependency tree:
ed25519-dalek 1.0.1
└── tor-llcrypto 0.5.6
├── tor-proto 0.13.0
│ ├── tor-hsservice 0.4.0
│ │ ├── tor-hsrproxy 0.2.0
│ │ │ └── arti 1.1.10
│ │ │ ├── arti-testing 0.8.9
│ │ │ └── arti-bench 0.8.9
│ │ ├── arti-client 0.11.0
│ │ │ ├── pt-proxy 0.1.0
│ │ │ ├── obfs4-checker 0.1.0
│ │ │ ├── download-manager 0.1.0
│ │ │ ├── dns-resolver 0.1.0
│ │ │ ├── connection-checker 0.1.0
│ │ │ ├── arti-testing 0.8.9
│ │ │ ├── arti-rpcserver 0.2.4
│ │ │ │ └── arti 1.1.10
│ │ │ ├── arti-hyper 0.11.0
│ │ │ │ └── download-manager 0.1.0
│ │ │ ├── arti-bench 0.8.9
│ │ │ └── arti 1.1.10
│ │ └── arti 1.1.10
│ ├── tor-hsrproxy 0.2.0
│ ├── tor-hsclient 0.6.0
│ │ └── arti-client 0.11.0
│ ├── tor-guardmgr 0.11.0
│ │ ├── tor-hsclient 0.6.0
│ │ ├── tor-dirmgr 0.12.0
│ │ │ ├── arti-testing 0.8.9
│ │ │ └── arti-client 0.11.0
│ │ ├── tor-circmgr 0.12.0
│ │ │ ├── tor-hsservice 0.4.0
│ │ │ ├── tor-hsclient 0.6.0
│ │ │ ├── tor-dirmgr 0.12.0
│ │ │ ├── tor-dirclient 0.10.0
│ │ │ │ ├── tor-hsservice 0.4.0
│ │ │ │ ├── tor-hsclient 0.6.0
│ │ │ │ └── tor-dirmgr 0.12.0
│ │ │ └── arti-client 0.11.0
│ │ ├── obfs4-checker 0.1.0
│ │ └── arti-client 0.11.0
│ ├── tor-dirmgr 0.12.0
│ ├── tor-dirclient 0.10.0
│ ├── tor-circmgr 0.12.0
│ ├── tor-chanmgr 0.11.0
│ │ ├── tor-ptmgr 0.7.0
│ │ │ ├── pt-proxy 0.1.0
│ │ │ └── arti-client 0.11.0
│ │ ├── tor-hsclient 0.6.0
│ │ ├── tor-circmgr 0.12.0
│ │ ├── pt-proxy 0.1.0
│ │ ├── obfs4-checker 0.1.0
│ │ └── arti-client 0.11.0
│ ├── obfs4-checker 0.1.0
│ └── arti-client 0.11.0
├── tor-netdoc 0.9.1
│ ├── tor-netdir 0.9.6
│ │ ├── tor-hsservice 0.4.0
│ │ ├── tor-hsclient 0.6.0
│ │ ├── tor-guardmgr 0.11.0
│ │ ├── tor-dirmgr 0.12.0
│ │ ├── tor-congestion 0.5.4
│ │ ├── tor-circmgr 0.12.0
│ │ ├── tor-chanmgr 0.11.0
│ │ └── arti-client 0.11.0
│ ├── tor-hsservice 0.4.0
│ ├── tor-hsclient 0.6.0
│ ├── tor-guardmgr 0.11.0
│ ├── tor-dirmgr 0.12.0
│ ├── tor-dirclient 0.10.0
│ ├── tor-circmgr 0.12.0
│ ├── arti-testing 0.8.9
│ └── arti-client 0.11.0
├── tor-netdir 0.9.6
├── tor-linkspec 0.8.4
│ ├── tor-ptmgr 0.7.0
│ ├── tor-proto 0.13.0
│ ├── tor-netdoc 0.9.1
│ ├── tor-netdir 0.9.6
│ ├── tor-hsservice 0.4.0
│ ├── tor-hsclient 0.6.0
│ ├── tor-guardmgr 0.11.0
│ ├── tor-dirmgr 0.12.0
│ ├── tor-dirclient 0.10.0
│ ├── tor-circmgr 0.12.0
│ ├── tor-chanmgr 0.11.0
│ ├── tor-cell 0.13.0
│ │ ├── tor-proto 0.13.0
│ │ ├── tor-netdoc 0.9.1
│ │ ├── tor-hsservice 0.4.0
│ │ ├── tor-hsrproxy 0.2.0
│ │ ├── tor-hsclient 0.6.0
│ │ ├── tor-chanmgr 0.11.0
│ │ └── arti-client 0.11.0
│ ├── pt-proxy 0.1.0
│ └── arti-client 0.11.0
├── tor-keymgr 0.4.0
│ ├── tor-hsservice 0.4.0
│ ├── tor-hsclient 0.6.0
│ └── arti-client 0.11.0
├── tor-hsservice 0.4.0
├── tor-hscrypto 0.3.4
│ ├── tor-proto 0.13.0
│ ├── tor-netdoc 0.9.1
│ ├── tor-netdir 0.9.6
│ ├── tor-keymgr 0.4.0
│ ├── tor-hsservice 0.4.0
│ ├── tor-hspow 0.1.3
│ ├── tor-hsclient 0.6.0
│ ├── tor-dirclient 0.10.0
│ ├── tor-circmgr 0.12.0
│ ├── tor-cell 0.13.0
│ └── arti-client 0.11.0
├── tor-hsclient 0.6.0
├── tor-guardmgr 0.11.0
├── tor-dirmgr 0.12.0
├── tor-dirclient 0.10.0
├── tor-consdiff 0.5.6
│ └── tor-dirmgr 0.12.0
├── tor-circmgr 0.12.0
├── tor-checkable 0.5.5
│ ├── tor-proto 0.13.0
│ ├── tor-netdoc 0.9.1
│ ├── tor-netdir 0.9.6
│ ├── tor-hsclient 0.6.0
│ ├── tor-dirmgr 0.12.0
│ ├── tor-cert 0.8.0
│ │ ├── tor-proto 0.13.0
│ │ ├── tor-netdoc 0.9.1
│ │ ├── tor-hsservice 0.4.0
│ │ └── tor-cell 0.13.0
│ ├── arti-testing 0.8.9
│ └── arti-client 0.11.0
├── tor-chanmgr 0.11.0
├── tor-cert 0.8.0
├── tor-cell 0.13.0
├── tor-bytes 0.7.5
│ ├── tor-socksproto 0.7.5
│ │ ├── tor-ptmgr 0.7.0
│ │ ├── tor-chanmgr 0.11.0
│ │ ├── pt-proxy 0.1.0
│ │ └── arti 1.1.10
│ ├── tor-proto 0.13.0
│ ├── tor-netdoc 0.9.1
│ ├── tor-linkspec 0.8.4
│ ├── tor-hsservice 0.4.0
│ ├── tor-hscrypto 0.3.4
│ ├── tor-hsclient 0.6.0
│ ├── tor-cert 0.8.0
│ ├── tor-cell 0.13.0
│ └── arti-rpcserver 0.2.4
├── arti-rpcserver 0.2.4
└── arti-client 0.11.0
Crate: atty
Version: 0.2.14
Warning: unsound
Title: Potential unaligned read
Date: 2021-07-04
ID: RUSTSEC-2021-0145
URL: https://rustsec.org/advisories/RUSTSEC-2021-0145
Dependency tree:
atty 0.2.14
├── env_logger 0.5.13
│ └── tls-api-test 0.9.0
│ ├── tls-api-openssl 0.9.0
│ │ └── arti-hyper 0.11.0
│ │ └── download-manager 0.1.0
│ └── tls-api-native-tls 0.9.0
│ ├── obfs4-checker 0.1.0
│ ├── download-manager 0.1.0
│ └── arti-hyper 0.11.0
└── clap 3.2.25
├── arti-testing 0.8.9
├── arti-bench 0.8.9
└── arti 1.1.10
├── arti-testing 0.8.9
└── arti-bench 0.8.9
error: 1 vulnerability found!
warning: 1 allowed warning foundIn particular, we usually do not package packages with known vulnerabilities, so I'm puzzled about what to do here.
Has this been addressed in newer commits?
Edited by VaiTon