一、漏洞详情
Rust是一种通用、编译型编程语言,支持函数式、并发式、过程式以及面向对象的编程风格。
近日,监测到Rust 标准库中存在命令注入漏洞(CVE-2024-24576,被称为BatBadBut),可能在Windows系统上导致命令注入攻击,目前该漏洞的细节已公开。Rust标准库1.77.2版本之前,在Windows上使用Command API调用批处理文件(带有bat和cmd扩展名)时,Rust标准库没有正确转义批处理文件的参数,能够控制传递给生成进程的参数的攻击者可绕过转义执行任意shell命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Rust < 1.77.2(Windows平台)
三、修复建议
官方已发布新版本修复漏洞,建议尽快升级到安全版本1.77.2及以上。