Rust 命令注入漏洞預(yù)警（CVE-2024-24576）

2024-04-12

一、概要

近日，華為云關(guān)注到Rust官方發(fā)布安全公告，披露Rust < 1.77.2版本中存在一處高危級(jí)別的命令注入漏洞（CVE-2024-24576）。當(dāng)在Windows上使用Command API調(diào)用批處理文件（使用bat和cmd擴(kuò)展名）時(shí)，由于Rust標(biāo)準(zhǔn)庫對(duì)參數(shù)的轉(zhuǎn)義功能存在缺陷，攻擊者利用該漏洞可繞過轉(zhuǎn)義實(shí)現(xiàn)在目標(biāo)主機(jī)上執(zhí)行任意的Shell命令。目前漏洞POC已公開，風(fēng)險(xiǎn)高。

Rust是一門專注于安全性、并發(fā)性、高效性的開源系統(tǒng)編程語言。華為云提醒使用Rust的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://github.com/rust-lang/rust/security/advisories/GHSA-q455-m56c-85mh

https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

Rust < 1.77.2

安全版本：

Rust  1.77.2

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://blog.rust-lang.org/2024/04/09/Rust-1.77.2.html

 注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。