命令注入攻击可能由关键的 Rust 漏洞引发 媒体
Rust 标准库漏洞:命令注入攻击风险
主要要点
Windows 设备可能会受到命令注入攻击,利用 Rust 标准库的漏洞该漏洞被追踪为 CVE202424576,影响所有早于 1772 版本的 Rust漏洞来源于 Rust 对 CreateProcess 函数的包装及命令参数中的转义机制为了防止批处理文件意外执行,建议将其移动到不在 PATH 环境变量中的目录最近,黑客新闻 报告称,Windows 设备可能会受到命令注入攻击,利用由 Rust 标准库引发的一个高危漏洞。该漏洞被标记为 CVE202424576,影响所有早于 1772 版本的 Rust。
旋风梯子官网据 Flatt Security 的安全工程师 RyotaK 介绍,此漏洞被称为 BatBadBut,源于该编程语言在处理 CreateProcess 函数时的封装和命令参数中的转义机制问题。RyotaK 已向 CERT 协调中心报告了该漏洞。Rust 安全响应工作组补充说明,由于 Rust 在批处理文件调用过程中对参数的转义不当,导致可以执行任意的 shell 命令。
为了防止批处理文件意外执行,您应考虑将批处理文件移到不在 PATH 环境变量中的目录。在这种情况下,只有在指定完整路径时,批处理文件才会被执行,从而可以有效防止意外执行,RyotaK 说道。
进一步建议
为加强安全性,建议开发者遵循以下指引:
建议措施说明移动批处理文件到不在 PATH 中的目录防止批处理文件在未完整指定路径的情况下执行定期更新 Rust 版本,确保使用安全补丁避免已知漏洞带来的安全隐患加强参数转义和验证过程确保传递给命令的参数经过妥善处理确保遵循这些建议,可以帮助用户降低遭受命令注入攻击的风险。
