ГлавнаяБаза уязвимостей БДУ → BDU:2024-02838
10критическая

BDU:2024-02838

Уязвимость реализации прикладного программного интерфейса интерпретатора языка программирования Rust для операционных систем Windows, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-11
Описание

Уязвимость реализации прикладного программного интерфейса интерпретатора языка программирования Rust для операционных систем Windows связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём вызова пользователем пакетных файлов с расширениями .bat и .cmd

Затрагиваемое ПО и версии
РЕД ОС (7.3)Rust (до 1.77.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для проверки пакетных файлов с расширениями .bat и .cmd, полученных из недоверенных источников;
- использование средств межсетевого экранирования для ограничения возможности отправки пакетов, содержащих аргументы вызова пакетных файлов;
- для ПО, написанного на Rust, использующего функционал вызова пакетных файлов необходимо реализовать фильтрацию собственными функциями для ограничения возможности эксплуатации уязвимости.

Использование рекомендаций производителя:
https://blog.rust-lang.org/2024/04/09/Rust-1.77.2.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://doc.rust-lang.org/std/io/enum.ErrorKind.html#variant.InvalidInputhttps://doc.rust-lang.org/std/os/windows/process/trait.CommandExt.html#tymethod.raw_arghttps://doc.rust-lang.org/std/process/struct.Command.htmlhttps://doc.rust-lang.org/std/process/struct.Command.html#method.arghttps://doc.rust-lang.org/std/process/struct.Command.html#method.argshttps://github.com/rust-lang/rust/issueshttps://github.com/rust-lang/rust/security/advisories/GHSA-q455-m56c-85mhhttps://www.kb.cert.org/vuls/id/123335
Проверьте безопасность своего сайта и почты → Полная проверка домена