CVE-2024-43402: что вам нужно знать
programming rust rustlang cvss cve-2024-43402 rust-security-response-wg rust-security rust-1.77.2 rust-1.81

CVE-2024-43402: что вам нужно знать

20 июля 2025 г.

9 апреля 2024 года ответ на безопасность ржавчины WG раскрылCVE-2024-24576, гдеstd::process::CommandНеправильно избежали аргументов при вызове пакетных файлов в Windows. Мы были уведомлены о том, что наше исправление уязвимости было неполным, и было возможно обойти исправление, когда имя пакетного файла имело следующий пробел или периоды (которые игнорируются и разряжаются Windows).

Серьезность неполного исправлениянизкий, из -за нишевых условий, необходимых для его запуска. Обратите внимание, что вычисление показателя CVSS может присвоить более высокую серьезность этому, но это не учитывает то, что требуется для запуска неполного исправления.

Неполное исправление идентифицируется CVE-2024-43402.

Обзор

Обратиться кКонсультативная консультация CVE-2024-24576Для получения подробной информации об исходной уязвимости.

Чтобы определить, применять лиcmd.exeВыходные правила, исходное исправление уязвимости проверило, закончилось ли имя команды.batили.cmdПолем В то время этого казалось достаточно, так как мы отказываемся вызывать пакетные сценарии без расширения файлов.

К сожалению,Windows удаляет запекающие пробелы и периодыПри прохождении путей файла. Например,.bat. .интерпретируется Windows как.bat, но наше первоначальное исправление не проверило это.

Смягчения

Если вас затронут это, и вы используете Rust 1,77.2 или более, вы можете удалить запекающие пробелы (ASCII 0x20) и периоды следа (ASCII 0x2e) из имени пакетного файла, чтобы обойти неполное исправление и включить смягчения.

Rust 1.81.0, который должен быть выпущен 5 сентября 2024 года, обновит стандартную библиотеку, чтобы применитьCVE-2024-24576Смягчения во все вызовы партийных файлов, независимо от того, что в имени файла в имени файла.

Затронутые версии

Все версии ржавчины до 1.81.0 затронуты, если ваш код или одна из ваших зависимостей вызывает пакетный сценарий на окнах с помощью запекания пробелов или периодов следа в имени и передавать ему неконтролируемые аргументы.

Благодарности

Мы хотим поблагодарить Каинана Чжана (@4xpl0r3r) за ответственность раскрыть это нам в соответствии сПолитика безопасности ржавчиныПолем

Мы также хотим поблагодарить членов проекта Rust, которые помогли нам раскрыть неполное исправление: Крис Дентон за разработку исправления, Amanieu D'Antras для просмотра исправления; Пьетро Альбини за написание этого совета; Пьетро Альбини, Маниш Горегаокар и Джош Стоун для координации этого раскрытия.

Ответ безопасности ржавчины wg

Также опубликованоздесь

ФотоRc.xyz NFT GalleryнаНеспособный

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE