Rust CVE-2024-24576 취약점으로 인해 해커가 시스템에 액세스할 수 있습니다.

사이버 범죄자들은 ​​Rust 표준 라이브러리의 심각한 보안 취약점(CVE-2024-24576)을 악용하는 방법을 발견했습니다. 이를 통해 주입 공격으로 Windows 시스템을 위협할 수 있습니다. 사이버 범죄자는 이 기술을 사용하여 장치에서 악성 프로그램을 실행할 수 있습니다.

또한 CVSS(Common Vulnerability Scoring System)에 따르면 Rust 표준 라이브러리의 이 문제는 매우 중요합니다. 결국 해커는 복잡성이 낮은 공격으로 원격으로 악용하기 위해 악성 코드와 상호 작용할 필요가 없습니다.

심각한 보안 취약점(CVE-2024-24576)은 무엇을 의미합니까?

Rust 보안 팀 에 따르면 심각한 보안 취약점(CVE-2024-24576)은 Rust 표준 라이브러리가 일괄 인수에 사용되는 특수 문자를 처리할 수 없음을 의미합니다. 따라서 Rust 프로그램이 배치 파일을 사용하기 위해 Command API를 실행할 때, 범죄자는 인수를 제어하고 침입할 방법을 찾을 수 있습니다. 그 후 그들은 시스템에서 악의적인 명령을 실행할 수 있습니다.

CVE-2024-24576 취약점은 배치 파일을 사용하지 않는 다른 운영 체제나 Rust 프로그램에는 영향을 미치지 않습니다. 또한 이 결함은 1.77.2 이전의 Rust 버전에만 존재합니다.

Rust 보안 팀은 cmd.exe의 복잡성으로 인해 취약점을 패치하는 데 어려움을 겪었습니다. 그래서 그들은 모든 논쟁을 피할 수 없었습니다. 업데이트 후 API가 인수를 이스케이프할 수 없으면 InvalidInput 오류를 반환합니다.

표준 이스케이프를 우회해야 하는 경우 CommandExt::raw_arg 메서드를 사용하세요. 이를 통해 신뢰할 수 있는 입력을 처리하거나 탈출할 수 있습니다.

(CVE-2024-24576)과 같은 몇 가지 심각한 보안 취약점이 있더라도 백악관 ONCD(National Cyber ​​Director) 사무실은 기술 회사가 Rust와 같은 메모리 안전 언어를 사용해야 한다고 간주합니다. 결국 해커가 악성 코드를 실행하는 데 사용하는 메모리 안전 취약점을 최소화합니다. 게다가 충돌과 데이터 손상이 발생합니다.

궁극적으로 Rust 스토리지 라이브러리의 심각한 보안 취약점(CVE-2024-24576)을 수정하려면 이를 1.77.2로 업그레이드하세요. 이렇게 하면 위협 행위자가 이를 악용하는 것을 방지할 수 있습니다. 따라서 악성 명령을 실행하기 위해 특수 인수를 사용할 수 없습니다.

당신의 생각은 무엇입니까? Rust 애플리케이션을 사용하시나요? 댓글을 통해 알려주세요.