El lenguaje oxidado El equipo ha publicado una versión puntual de Rust para solucionar un problema. vulnerabilidad crítica a la biblioteca estándar que podría beneficiar a un atacante cuando usa Windows.
Óxido 1.77.2publicado el 9 de abril, incluye una solución para CVE-2024-24576. Antes de esta versión, la biblioteca estándar de Rust no escapaba correctamente de los argumentos al invocar archivos por lotes con el bat
y cmd
extensiones en Windows usando el Command
API. Un atacante que controlara los argumentos pasados a un proceso generado podría ejecutar comandos de shell arbitrarios evitando el escape. Esta vulnerabilidad se vuelve crítica si se invocan archivos por lotes en Windows con argumentos que no son de confianza. Ninguna otra plataforma o uso se vio afectado. Los desarrolladores que ya usan Rust pueden obtener Rust 1.77.2 usando el comando: rustup update stable
.
Rust 1.77.2 es una versión puntual, siguiendo Óxido 1.77.1 en aproximadamente 12 días. La versión 1.77.1 solucionó una situación que afectaba al administrador de paquetes de carga en Óxido 1.77que se anunció el 21 de marzo. En Rust 1.77, Cargo permitió a los desarrolladores elimine la información de depuración en las versiones de lanzamiento de forma predeterminada. Sin embargo, debido a un problema preexistente, debuginfo
la eliminación no se comportó de la manera esperada en Windows con la cadena de herramientas MSVC. Rust 1.77.1 ahora deshabilita el nuevo comportamiento de Cargo en Windows para objetivos que usan MSVC. Hay planes para volver a habilitar debuginfo
eliminación en modo de lanzamiento en una versión posterior de Rust.
Copyright © 2024 IDG Communications, Inc.