Origine : bjCSIRT

Numéro : 2024/ALERTE/022

Date de l’alerte : 11/04/2024

APERÇU :

L’API Command de la bibliothèque standard de Rust est affectée par une vulnérabilité de type injection de commandes permettant l’exécution de commandes arbitraires sous Windows. 

DESCRIPTION 

Rust est un langage de programmation compilé, multi-paradigme qui met l’accent sur la performance, la sûreté des types et la concurrence. Command est une API de Rust permettant d’exécuter des processus externes, notamment des fichiers batch (.cmd, .bat) sur un système Windows.  

Cette API est affectée par une vulnérabilité libellée CVE-2024-24576. Son exploitation permettrait à un attaquant, de contrôler les arguments passés au processus batch, de contourner l’échappement et d’exécuter des commandes Shell arbitraires. Cette faille est due au filtrage et à l’échappement insuffisant des arguments par la bibliothèque standard de Rust lors de l’exécution de fichiers batch sous Windows. 

Cette vulnérabilité est classée critique avec un score de sévérité de 10. 

IMPACT :

• Exécution de code arbitraire ; 
• Accès non autorisé aux données ; 
• Déni de services. 

SYSTÈMES AFFECTÉS :

Les systèmes Windows utilisant les versions de Rust antérieures à la version 1.77.2. 

MESURES À PRENDRE :

Mettre à jour Rust vers la dernière version disponible. 

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-24576
• https://www.cvedetails.com/cve/CVE-2024-24576/
• https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html/