Viimeaikainen CVE-2024-24576-haavoittuvuus Rustissa voi auttaa suorittamaan luvattomia komentoja
Mielenkiintoista on, että Microsoft integroi Rustin MS365:n Substrate App Platformiin vähän aikaa sitten
2 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Keskeiset huomautukset
- Rust löysi kriittisen tietoturvavirheen, joka salli luvattomat komentotulkkikomennot, korjattu versiossa 1.77.2.
- Cmd.exe:n monimutkaisuuden vuoksi idioottivarma argumenttien poistaminen oli haastavaa.
- Päivitetty Command API ja otettu käyttöön CommandExt::raw_arg Windows-käyttäjille.
Rust, suosittu ohjelmointikieli, on juuri ilmoitti äskettäin että se on havainnut vakiokirjastossa tietoturvavirheen, jonka vuoksi hyökkääjät voivat suorittaa luvattomia komentotulkkikomentoja.
Haavoittuvuus, joka on merkitty nimellä CVE-2024-24576, poistuu Rust-versiosta 1.77.2, kuten ilmoitettiin.
"Tämän haavoittuvuuden vakavuus on kriittinen, jos kutsut erätiedostoja Windowsissa epäluotettavilla argumenteilla. Tämä ei vaikuta mihinkään muuhun alustaan tai käyttöön", tiedotteessa sanotaan.
Rust-tiimi selitti, että koska cmd.exe on monimutkainen Windowsissa, koska argumentteja käsitellään erityisesti erätiedostojen kanssa, he eivät löytäneet idioottivarmaa tapaa välttää väitteitä kaikissa tilanteissa.
"Useimmat ohjelmat käyttävät standardia C-ajonaikaista argv:tä, mikä käytännössä johtaa enimmäkseen johdonmukaiseen tapaan, jolla argumentit jaetaan", tiimi lisää.
Luotettavuuden ylläpitämiseksi he päivittivät pakokoodin ja saivat Command API:n antamaan InvalidInput-virheen, jos se ei voi turvallisesti välttää argumenttia, joka ilmenee prosessia käynnistettäessä.
Jos käsittelet luotettuja syötteitä tai haluat tehdä oman pakotuksen, voit kokeilla vaihtoehtoista menetelmää nimeltä CommandExt::raw_arg Windowsissa.
Mielenkiintoista on, että Microsoft on työskennellyt Rustin käyttöönottamiseksi. Vähän aikaa sitten raportoimme, että Redmond-yhtiö on omaksumassa kielen MS365:n Substrate App Platformiin, palkata uusia ihmisiä liittyä uuteen tiimiin tätä varten.