Kerentanan CVE-2024-24576 terbaru di Rust dapat membantu menjalankan perintah yang tidak sah

Rust, bahasa pemrograman populer, baru saja baru-baru ini mengumumkan bahwa ia mendeteksi kelemahan keamanan di perpustakaan standar yang memungkinkan penyerang menjalankan perintah shell yang tidak sah. 

Kerentanan, yang ditandai sebagai CVE-2024-24576, akan hilang di Rust versi 1.77.2, seperti yang diumumkan.

“Tingkat keparahan kerentanan ini sangat penting jika Anda menjalankan file batch di Windows dengan argumen yang tidak tepercaya. Tidak ada platform atau penggunaan lain yang terpengaruh,” bunyi pengumuman tersebut.

Tim Rust menjelaskan bahwa, karena cmd.exe rumit di Windows karena cara penanganan argumen terutama dengan file batch, mereka tidak dapat menemukan cara yang sangat mudah untuk menghindari argumen dalam segala situasi.

“Sebagian besar program menggunakan argumen run-time C standar, yang dalam praktiknya menghasilkan pemisahan argumen yang sebagian besar konsisten,” tambah tim tersebut.

Untuk menjaga keandalan, mereka meningkatkan kode pelolosan dan membuat Command API mengeluarkan kesalahan InvalidInput jika tidak dapat lolos dari argumen dengan aman, yang terjadi saat meluncurkan proses.

Jika Anda menangani input tepercaya atau ingin melakukan pelolosan sendiri, ada metode alternatif bernama CommandExt::raw_arg di Windows yang dapat Anda coba.  

Menariknya, Microsoft telah berupaya untuk mengadopsi Rust. Beberapa waktu yang lalu, kami melaporkan bahwa perusahaan Redmond mengadopsi bahasa tersebut ke dalam Platform Aplikasi Substrat MS365, mempekerjakan orang baru untuk bergabung dengan tim baru untuk ini.