انتشار نقطه Rust 1.77.2 به یک آسیب پذیری حیاتی می پردازد که بر استقرار ویندوز تأثیر می گذارد.
تیم Rust language برای رفع مشکل آسیبپذیری حیاتی در کتابخانه استاندارد که میتواند هنگام استفاده از ویندوز برای مهاجم مفید باشد.
Rust 1.77.2، منتشر شد در ۹ آوریل، شامل اصلاحی برای CVE-2024-24576 است. قبل از این نسخه، کتابخانه استاندارد Rust هنگام فراخوانی فایلهای دستهای با پسوندهای bat
و cmd
در ویندوز با استفاده از Command
API بهدرستی از استدلال فرار نمیکرد. مهاجمی که آرگومان های ارسال شده به یک فرآیند ایجاد شده را کنترل می کند، می تواند با دور زدن escape دستورات پوسته دلخواه را اجرا کند. اگر فایلهای دستهای در ویندوز با آرگومانهای نامعتبر فراخوانی شوند، این آسیبپذیری حیاتی میشود. هیچ پلت فرم یا کاربری دیگری تحت تأثیر قرار نگرفت. توسعه دهندگانی که قبلاً از Rust استفاده می کنند می توانند Rust 1.77.2 را با استفاده از دستور rustup update stable
دریافت کنند.
Rust 1.77.2 یک نسخه امتیازی است که به دنبال است. زنگ زدگی ۱.۷۷.۱ تقریباً ۱۲ روز. نسخه ۱.۷۷.۱ به وضعیتی پرداخته است که بر مدیر بسته Cargo در Rust 1.77 که در ۲۱ مارس اعلام شد، تأثیر میگذارد. در Rust 1.77، Cargo به توسعهدهندگان این امکان را میدهد که بهطور پیشفرض اطلاعات اشکالزدایی را در نسخههای انتشار حذف کنید. با این حال، به دلیل یک مشکل از قبل موجود، حذف debuginfo
به شیوه مورد انتظار در ویندوز با زنجیره ابزار MSVC عمل نکرد. Rust 1.77.1 اکنون رفتار بار جدید را در ویندوز برای اهدافی که از MSVC استفاده می کنند غیرفعال می کند. برنامههایی برای فعال کردن مجدد debuginfo
در حالت انتشار در نسخه بعدی Rust وجود دارد.
پست های مرتبط
Rust برای آسیبپذیری ویندوز رفع امنیتی میکند
Rust برای آسیبپذیری ویندوز رفع امنیتی میکند
Rust برای آسیبپذیری ویندوز رفع امنیتی میکند