Rust Blog
·
标准库安全公告 (CVE-2024-43402)
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
Rust安全响应WG披露了CVE-2024-24576,即在Windows上调用批处理文件时,std::process::Command在转义参数时出现错误。修复不完整的严重性较低,需要特定条件才能触发。受影响的版本是所有1.81.0之前的Rust版本。
🎯
关键要点
- Rust安全响应WG披露了CVE-2024-24576,涉及在Windows上调用批处理文件时std::process::Command错误转义参数的问题。
- 修复不完整的严重性较低,需要特定条件才能触发,例如批处理文件名末尾有空格或句点。
- 受影响的版本是所有1.81.0之前的Rust版本。
- 原始修复检查命令名是否以.bat或.cmd结尾,但未考虑Windows在解析文件路径时会去除末尾的空格和句点。
- 如果受影响且使用Rust 1.77.2或更高版本,可以通过去除批处理文件名末尾的空格和句点来绕过不完整的修复。
- Rust 1.81.0将于2024年9月5日发布,更新标准库以对所有批处理文件调用应用CVE-2024-24576的缓解措施。
- 感谢Kainan Zhang负责地向我们披露此问题,以及Rust项目成员的支持和协调。
➡️
