A Rust legújabb CVE-2024-24576 biztonsági rése segíthet jogosulatlan parancsok futtatásában

Érdekes módon a Microsoft egy kicsit ezelőtt integrálta a Rust-ot az MS365 Substrate App Platformjába

Kezdőlap » Hírek

Olvasási idő ikonra 2 perc olvas

Naptár ikonra Publikálva

by Rafly Gilang 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

Főbb megjegyzések

  • Rust kritikus biztonsági hibát talált, amely lehetővé tette az illetéktelen shell-parancsokat, javítva az 1.77.2-es verzióban.
  • A cmd.exe bonyolultsága miatt a bolondbiztos érvek elkerülése kihívást jelentett.
  • Frissített Command API és bevezette a CommandExt::raw_arg a Windows felhasználók számára.

A Rust, a népszerű programozási nyelv már csak a közelmúltban bejelentette, hogy biztonsági hibát észlelt a szabványos könyvtárban, amely lehetővé teheti a támadók számára, hogy jogosulatlan shell-parancsokat hajtsanak végre. 

A CVE-2024-24576 jelzésű sebezhetőség a bejelentésnek megfelelően megszűnik a Rust 1.77.2-es verziójában.

„A biztonsági rés súlyossága kritikus, ha nem megbízható argumentumokkal hív meg kötegelt fájlokat a Windows rendszeren. Ez semmilyen más platformot vagy felhasználást nem érint” – áll a közleményben.

A Rust csapata elmagyarázta, hogy mivel a cmd.exe bonyolult Windows rendszeren az érvek kezelése miatt, különösen a kötegelt fájloknál, nem találtak hibabiztos módot az érvek elkerülésére minden helyzetben.

„A legtöbb program a szabványos C futásidejű argv-t használja, ami a gyakorlatban az argumentumok többnyire konzisztens felosztását eredményezi” – teszi hozzá a csapat.

A megbízhatóság megőrzése érdekében frissítették a kilépő kódot, és a Command API-t InvalidInput hibát adták ki, ha nem tud biztonságosan elkerülni egy argumentumot, ami a folyamat indításakor fordul elő.

Ha megbízható bemeneteket kezel, vagy saját menekülést szeretne végrehajtani, akkor a Windows rendszeren létezik egy CommandExt::raw_arg nevű alternatív módszer, amelyet megpróbálhat.  

Érdekes módon a Microsoft a Rust alkalmazásán dolgozik. Nemrég beszámoltunk arról, hogy a redmondi vállalat átveszi a nyelvet az MS365 Substrate App Platformjába, új emberek felvétele hogy csatlakozzon ehhez egy új csapathoz. 

Rafly Gilang

Rafly Gilang Shield

Tech Riporter

Rafly egy riporter, aki több éves újságírói tapasztalattal rendelkezik a technológiai, üzleti, társadalmi és kulturális területeken. Jelenleg híreket jelent a Microsofttal kapcsolatos termékekről, technológiáról és mesterséges intelligenciáról a Windows Report és az MSPowerUser oldalon. Van tipped? Küldd el [e-mail védett].