2024年4月10日,网上公开披露了一个Rust 命令注入漏洞(CVE-2024-24576),Rust 是一种系统级编程语言,由 Mozilla 开发,旨在提供安全性、并发性和性能,请各位用户尽快安装漏洞补丁。
漏洞风险:Rust 标准库在 Windows 上使用 Command API 调用批处理文件(.bat/.cmd)时,未正确转义参数。该风险在2011年已经在微软文档中提及,但仍存在多个语言实现不当。当应用中存在外部可控的批处理文件调用时,攻击者可通过控制传递给生成进程的参数实现命令注入,绕过转义从而执行任意系统命令。其他平台或 Windows 上的其他用途都不受影响。
风险等级:高风险。
影响范围:
std@(-∞, 1.77.2)
rust@(-∞, 1.77.2)
修复建议:
将组件 std 升级至 1.77.2 及以上版本
将 rust 升级至 1.77.2 及以上版本
进行安全更新方法:
https://github.com/rust-lang/rust/releases
