Критический недостаток безопасности в стандартной библиотеке Rust может быть использован для нацеливания на пользователей Windows и организации атак с использованием командного ввода.
Уязвимость, отслеживаемая как CVE-2024-24576, имеет оценку CVSS 10.0, что указывает на максимальную серьезность. Тем не менее, она влияет только на сценарии, в которых пакетные файлы вызываются в Windows с ненадежными аргументами.
"Стандартная библиотека Rust неправильно экранировала аргументы при вызове пакетных файлов (с расширениями bat и cmd) в Windows с использованием командного API", - сказала рабочая группа Rust Security Response Working group, опубликованная 9 апреля 2024 года.
"Злоумышленник, способный контролировать аргументы, передаваемые порожденному процессу, может выполнять произвольные команды оболочки в обход экранирования".
Ошибка затрагивает все версии Rust до версии 1.77.2. Исследователю безопасности РетакУ приписывают обнаружение ошибки и сообщение об ней в Координационный центр сертификации (CERT / CC).
Ретак сказал, что уязвимость под кодовым названием BatBadBut влияет на несколько языков программирования и что она возникает, когда "язык программирования оборачивает функцию CreateProcess [в Windows] и добавляет механизм экранирования аргументов команды".
Но в свете того факта, что не на каждом языке программирования решена проблема, разработчикам рекомендуется проявлять осторожность при выполнении команд в Windows.
"Чтобы предотвратить неожиданное выполнение пакетных файлов, вам следует рассмотреть возможность перемещения пакетных файлов в каталог, который не включен в переменную среды PATH", - сказал Ретак в качестве небольшого совета пользователям.
"В этом случае пакетные файлы не будут выполняться, если не указан полный путь, поэтому неожиданное выполнение пакетных файлов может быть предотвращено".
Уязвимость, отслеживаемая как CVE-2024-24576, имеет оценку CVSS 10.0, что указывает на максимальную серьезность. Тем не менее, она влияет только на сценарии, в которых пакетные файлы вызываются в Windows с ненадежными аргументами.
"Стандартная библиотека Rust неправильно экранировала аргументы при вызове пакетных файлов (с расширениями bat и cmd) в Windows с использованием командного API", - сказала рабочая группа Rust Security Response Working group, опубликованная 9 апреля 2024 года.
"Злоумышленник, способный контролировать аргументы, передаваемые порожденному процессу, может выполнять произвольные команды оболочки в обход экранирования".
Ошибка затрагивает все версии Rust до версии 1.77.2. Исследователю безопасности РетакУ приписывают обнаружение ошибки и сообщение об ней в Координационный центр сертификации (CERT / CC).
Ретак сказал, что уязвимость под кодовым названием BatBadBut влияет на несколько языков программирования и что она возникает, когда "язык программирования оборачивает функцию CreateProcess [в Windows] и добавляет механизм экранирования аргументов команды".
Но в свете того факта, что не на каждом языке программирования решена проблема, разработчикам рекомендуется проявлять осторожность при выполнении команд в Windows.
"Чтобы предотвратить неожиданное выполнение пакетных файлов, вам следует рассмотреть возможность перемещения пакетных файлов в каталог, который не включен в переменную среды PATH", - сказал Ретак в качестве небольшого совета пользователям.
"В этом случае пакетные файлы не будут выполняться, если не указан полный путь, поэтому неожиданное выполнение пакетных файлов может быть предотвращено".
