Bendi新闻
>
Rust 修复了 std 库中 Windows 10/11 的关键命令注入缺陷

Rust 修复了 std 库中 Windows 10/11 的关键命令注入缺陷

作者 | Connor Jones
译者 | 张卫滨
策划 | 丁晓昀

本文最初发表于 The Register 网站,由 InfoQ 中文站翻译分享。

Rust 安全专家解决了一个可能导致 Windows 机器上产生恶意命令注入的关键漏洞,建议程序员升级其 Rust 版本。

该漏洞的 CVSS 严重性评分为 10 分(满分即为 10 分),通过 CVE-2024-24576 编号进行跟踪。它会影响 Rust 标准库,当使用库的 Command API 在 Windows 上调用批处理文件时,它会出现不正确地转义参数,具体来讲就是 std::process::Command。

Rust 安全响应工作组(Rust Security Response Working Group)的 Pietro Albini 说到:“如果攻击者能够控制传递给生成进程的参数,那么他们就可以绕过转义执行任意的 shell 命令”,他负责撰写了该安全通知。

报告这一问题的东京 Flatt Security 公司的研究人员说,主要问题似乎源于 Windows 的 cmd.exe 程序,该程序有更复杂的解析规则,没有它的话,Windows 就无法执行批处理文件。

Albini 说,Windows 的命令提示符有自己的参数分割逻辑,与标准库提供的常规 Command::arg 和 Command::args API 不同,这些 API 通常允许将不可信的输入安全地传递给生成的进程。

Albini 说,“在 Windows 上,该实现比其他平台更复杂,因为 Windows API 只提供了一个包含所有参数的字符串给生成的进程,并且由生成的进程负责来拆分这些参数。”大多数的程序员使用标准 C 运行时的 argv,在实践中,这基本上会以一种一致的方式来拆分参数。

“但不幸的是,据报道,我们的转义逻辑不完备,有可能传递恶意的参数,导致任意的 shell 均可执行。”

Chris Denton 是 Rust std 库的贡献者,他开发了解决这个问题的修复程序,包括改进转义代码,并确保 Command API 在无法安全转义参数时返回 InvalidInput 错误。

Albini 说,由于微软命令提示符的复杂性,团队无法确定在每种情况下都能安全转义参数的修复方法。

“如果你自己实现转义或只处理可信的输入,在 Windows 上也可以使用 CommandExt::raw_arg 方法来绕过标准库的转义逻辑。”

Rust 在 4 月 9 日发布了 1.77.2 版本,并表示之前的每个版本都会受到该安全漏洞的影响。

这门语言得到了粉丝们的热爱,经常在 Stack Overflow 的排名中名列前茅,因为开发人员发现在工作中使用 Rust 非常令人愉悦,谷歌员工也称赞了它在生产力方面的优势。该语言是国家安全机构敦促开发人员采用的较新的内存安全语言之一,以取代 C 和 C++ 等旧技术。

BatBadBut

RyotaK 是报告该漏洞的研究人员,他们将其称为 BatBadBut,该名称来源于该漏洞与批处理相关及其严重程度,即“很严重,但并不是最糟糕的”,该问题比 Rust 本身影响的技术更多。

Erlang、Go、Python 和 Ruby 也受到了影响,它们已经更新了各自的文档页面,以提高对这个问题的重视程度。

Node.js 和 PHP 现在都在编写补丁,而 Rust 和 Haskell 已经推出了修复程序。根据这名研究人员的报告,Java 同样受到了影响,但它的团队没有计划解决这个问题。

RyotaK 还指出,用户不应该仅仅依靠 CVSS 评级就得出结论,因为问题的严重性将取决于每个应用程序,应该根据具体情况重新考量和评估。

声明:本文为 InfoQ 翻译,未经许可禁止转载。

今日好文推荐

德国再次拥抱Linux:数万系统从windows迁出,能否避开二十年前的“坑”?

谷歌大裁员引发元老集体抗议:领导脑袋空空,无能的中层管理团队不断扩大

系统 bug 致百人入狱,砸了 2.8 亿元仍上云失败!二十年了,这家大企业被日本软件坑惨了

Linux 一社区封杀大模型代码!“shit”7次出现在小作文,网友:此举非常明智!

微信扫码关注该文公众号作者

来源:InfoQ

相关新闻

Rust 生态纯属炒作?3 年写了 10 万行代码的开发者吐槽:当初用 Rust 是被忽悠了当我绝望之后,却突然对这个纠结了小半辈子的巨大缺陷释怀了…微软组建新团队,帮助用Rust重写核心Windows库Rust 编写的 Borgo 语言带来了代数数据类型和更多功能比VS Code快得多!用Rust重写,支持OpenAI、Copilot 的Zed编辑器开源了OpenAI CEO资助的全民基本收入实验:得出了什么结论?有什么内在缺陷?新加坡国家发展部长李智陞:如买到有房屋缺陷的转售组屋,买家可解约​JAMA: 怀孕初期接种mRNA 新冠疫苗不会增加出生缺陷的风险传特斯拉正考虑放弃4680电池生产;三星电子否认有关其晶圆厂出现缺陷的报道丨智能制造日报Linux 6.10 将支持 RISC-V 架构下的 Rust 编程语言如何避免生出有缺陷的孩子?这3个阶段的警惕要点在这里!不安全!美最新调查:特斯拉自驾系统存在「关键缺陷」。交安局爆特斯拉自驾系统「关键缺陷」酿467起车祸13死Rust 1.80 的新特性南加买房怎么高效看房?这份指南帮你有效规避老房子的建造缺陷VS Code劲敌、Atom原作者主导、Rust编写的“最好”编辑器——Zed开始支持LinuxRust编写的Web开发框架——同时支持Node和Python同济校长郑庆华院士:大模型的四大缺陷Rust 编写的 Zed 编辑器开源:约 27 万行代码、主打“高性能”Rust编写的Zed编辑器开源:约27万行代码、主打“高性能”Ruffle 2023回顾——Rust实现的开源Flash Player模拟器情绪垃圾桶or共情大师?敏感缺陷变优势,关键看这点——上海科技大学周智课题组与合作者揭示溶酶体功能缺陷对睾丸衰老的调控机制争议与热度并存,越来越多开发者正在抛弃他们的旧语言转向 Rust
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。