一、背景介绍
近日,市委网信办技术支撑单位监测到Rust官方发布新版本修复了Rust命令注入高危漏洞(CVE-2024-24576)。目前该漏洞PoC已在互联网上公开,鉴于该漏洞影响范围较大,建议尽快做好自查及防护。
1.1漏洞描述
Rust是一种开源的系统编程语言,它专注于安全性、并发性和性能,旨在提供内存安全和线程安全的同时,保持高性能和控制力。
在Windows上使用Command API调用批处理文件时,Rust标准库没有正确地对参数进行转义。攻击者如果能够控制传递给生成的进程的参数,就可以通过绕过转义来执行任意的Shell命令。
1.2漏洞编号
CVE-2024-24576
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
Rust<1.77.2(Windows平台)
2.2修复建议:
官方已发布新版本修复漏洞,建议尽快升级到安全版本1.77.2及以上
