Rust standard library के लिए सुरक्षा परामर्श (CVE-2024-24576)
(blog.rust-lang.org)Rust standard library के लिए एक सुरक्षा परामर्श जारी किया गया है। यह CVE-2024-24576 के रूप में पहचानी गई एक vulnerability से संबंधित है, और खास तौर पर Windows पर .bat या .cmd extension वाली batch files को Command API का उपयोग करके कॉल करते समय arguments को सही तरह से escape न करने की समस्या के कारण उत्पन्न हुआ।
यदि कोई attacker बनाए गए process को दिए गए arguments को नियंत्रित कर सकता है, तो वह escaping को bypass करके मनचाहे shell commands चला सकता है। यह vulnerability केवल उन मामलों में महत्वपूर्ण है जहाँ Windows पर untrusted arguments के साथ batch files को कॉल किया जाता है। अन्य platforms या use cases प्रभावित नहीं हैं.
समस्या का मूल कारण यह है कि Windows पर cmd.exe (जिसका उपयोग batch files चलाने के लिए किया जाता है) अपनी खुद की argument splitting logic रखता है, इसलिए standard library को batch files को दिए गए arguments के लिए custom escaping लागू करनी पड़ती है। रिपोर्ट के अनुसार, escaping logic पर्याप्त रूप से thorough नहीं थी, इसलिए malicious arguments भेजकर मनचाहा shell execution संभव था.
AI की सहायता ली गई
3 टिप्पणियां
क्योंकि यह Windows escaping की समस्या है, इसलिए ऐसा हो सकता है, ऐसा लगता है।
यह पहले वाले WinRAR vulnerability जैसा लगता है। इसमें Windows के batch file execution method और file naming constraints का इस्तेमाल किया गया था।
सच में, दुनिया में कोई भी काम आसान नहीं है टीटी