Rust 标准库漏洞：命令注入攻击风险

主要要点

• Windows 设备可能会受到命令注入攻击，利用 Rust 标准库的漏洞
• 该漏洞被追踪为 CVE-2024-24576，影响所有早于 1.77.2 版本的 Rust
• 漏洞来源于 Rust 对 CreateProcess 函数的包装及命令参数中的转义机制
• 为了防止批处理文件意外执行，建议将其移动到不在 PATH 环境变量中的目录

最近， 报告称，Windows 设备可能会受到命令注入攻击，利用由 Rust 标准库引发的一个高危漏洞。该漏洞被标记为 CVE-2024-24576，影响所有早于 1.77.2 版本的 Rust。

据 Flatt Security 的安全工程师 RyotaK 介绍，此漏洞被称为 BatBadBut，源于该编程语言在处理 CreateProcess函数时的封装和命令参数中的转义机制问题。RyotaK 已向 CERT 协调中心报告了该漏洞。Rust 安全响应工作组补充说明，由于 Rust在批处理文件调用过程中对参数的转义不当，导致可以执行任意的 shell 命令。

"为了防止批处理文件意外执行，您应考虑将批处理文件移到不在 PATH 环境变量中的目录。在这种情况下，只有在指定完整路径时，批处理文件才会被执行，从而可以有效防止意外执行"，RyotaK 说道。

进一步建议

为加强安全性，建议开发者遵循以下指引：

确保遵循这些建议，可以帮助用户降低遭受命令注入攻击的风险。