Rust命令注入漏洞(CVE-2024-24576)的预警

文章来源:智慧校园建设专题网站发布时间:2024-04-24浏览次数:194

一、漏洞详情

Rust是一种通用、编译型编程语言,支持函数式、并发式、过程式以及面向对象的编程风格。

近日,监测到Rust 标准库中存在命令注入漏洞(CVE-2024-24576,被称为BatBadBut),可能在Windows系统上导致命令注入攻击,目前该漏洞的细节已公开。Rust标准库1.77.2版本之前,在Windows上使用Command API调用批处理文件(带有batcmd扩展名)时,Rust标准库没有正确转义批处理文件的参数,能够控制传递给生成进程的参数的攻击者可绕过转义执行任意shell命令。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Rust < 1.77.2Windows平台)

三、修复建议

官方已发布新版本修复漏洞,建议尽快升级到安全版本1.77.2及以上。