Rust получил исправление уязвимости в Windows

Команда разработчиков языка Rust опубликовала точечный выпуск Rust, в котором исправлена критическая уязвимость в стандартной библиотеке, которая может принести пользу злоумышленникам при использовании Windows.

Rust 1.77.2, опубликованный 9 апреля, содержит исправление для CVE-2024-24576. До этого выпуска стандартная библиотека Rust неправильно экранировала аргументы при вызове пакетных файлов с расширениями bat и cmd в Windows с помощью Command API. Злоумышленник, контролирующий аргументы, передаваемые порожденному процессу, мог выполнить произвольные команды оболочки в обход экранирования. Эта уязвимость становится критической, если пакетные файлы вызываются на Windows с недоверенными аргументами. Ни одна другая платформа или использование не были затронуты. Разработчики, уже использующие Rust, могут получить Rust 1.77.2 с помощью команды: rustup update stable.

Rust 1.77.2 - это точечный выпуск, следующий за Rust 1.77.1 примерно на 12 дней. Версия 1.77.1 исправила ситуацию с менеджером пакетов Cargo в Rust 1.77, о которой было объявлено 21 марта. В Rust 1.77 Cargo позволил разработчикам по умолчанию удалять отладочную информацию в релизных сборках. Однако из-за существовавшей ранее проблемы удаление отладочной информации не работало так, как ожидалось, в Windows с инструментарием MSVC. Rust 1.77.1 теперь отключает новое поведение Cargo на Windows для целей, использующих MSVC. Планируется снова включить отсечение отладочной информации в режиме релиза в следующем выпуске Rust.