Avis de sécurité pour la bibliothèque standard de Rust (CVE-2024-24576)
(blog.rust-lang.org)Un avis de sécurité a été publié concernant la bibliothèque standard de Rust. Il est lié à une vulnérabilité identifiée sous le nom de CVE-2024-24576, survenue notamment sous Windows en raison d’un problème d’échappement insuffisant des arguments lors de l’appel de fichiers batch avec une extension .bat ou .cmd via l’API Command.
Si un attaquant peut contrôler les arguments transmis au processus généré, il peut contourner l’échappement et exécuter des commandes shell arbitraires. Cette vulnérabilité n’est importante que lorsqu’un fichier batch est appelé sous Windows avec des arguments non fiables. Les autres plateformes et cas d’usage ne sont pas affectés.
La cause profonde du problème est que cmd.exe sous Windows (utilisé pour exécuter les fichiers batch) possède sa propre logique de séparation des arguments, ce qui oblige la bibliothèque standard à implémenter un échappement personnalisé pour les arguments transmis aux fichiers batch. D’après le signalement, la logique d’échappement n’était pas suffisamment rigoureuse, ce qui permettait, via des arguments malveillants, une exécution arbitraire dans le shell.
Avec l’aide de l’IA
3 commentaires
Comme il s’agit d’un problème d’échappement sous Windows, je me dis que c’est plausible.
Cela semble similaire à l’ancienne vulnérabilité de WinRAR. Elle exploitait la manière dont Windows exécute les fichiers batch et les contraintes de nommage des fichiers.
Décidément, rien n’est facile dans ce monde, hein TT