Kritisk sårbarhet i Rust – BatBadBut

Uppdatering: Sårbarheten har fått namnet BatBadBut och gäller fler programspråk än Rust.

Om du använder program som är skrivna i Rust under Windows och dessa i sin tur kör batch-filer med filändelsen .bat eller .cmd så kan du ligga risigt till.

Det är nämligen så att det kan vara möjligt att få med otillåtna argument vidare till dessa script har det visat sig. Även om dokumentationen till Rust skriver ”it should be safe to pass untrusted input as an argument”.

CVSS för detta är 10, vilket är kritiskt och CVE-numret är: CVE-2024-24576

En fix för detta finns med i Rust version 1.77.2 som släpps idag den 10:e april. Och bristen gäller således alla Rust-versioner innan denna. Sårbarheten rapporterades till Rust-projektet av RyotaK.

• Källa: blog.rust-lang.org/2024/04/09/cve-2024-24576.html

Calle Svensson tipsade om RyotaK:s blogginlägg som beskriver problematiken i djupet i följande blogginlägg:

• flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows