# Rust 표준 라이브러리를 위한 보안 권고 (CVE-2024-24576)

> Clean Markdown view of GeekNews topic #14246. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=14246](https://news.hada.io/topic?id=14246)
- GeekNews Markdown: [https://news.hada.io/topic/14246.md](https://news.hada.io/topic/14246.md)
- Type: news
- Author: [ragingwind](https://news.hada.io/@ragingwind)
- Published: 2024-04-10T17:07:57+09:00
- Updated: 2024-04-10T17:07:57+09:00
- Original source: [blog.rust-lang.org](https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html)
- Points: 3
- Comments: 3

## Topic Body

러스트 표준 라이브러리에 대한 보안 권고가 발표되었습니다. 이는 CVE-2024-24576으로 식별되는 취약점과 관련이 있으며, 특히 Windows에서 .bat 또는 .cmd 확장자를 가진 배치 파일을 Command API를 사용하여 호출할 때 인수를 적절히 이스케이프하지 않는 문제로 인해 발생했습니다.   
  
공격자가 생성된 프로세스로 전달된 인수를 제어할 수 있는 경우, 이스케이핑을 우회하여 임의의 셸 명령어를 실행할 수 있습니다. 이 취약점은 신뢰할 수 없는 인수로 Windows에서 배치 파일을 호출하는 경우에만 중요합니다. 다른 플랫폼이나 사용 사례는 영향을 받지 않습니다.  
  
문제의 근본 원인은 Windows에서 cmd.exe (배치 파일을 실행하는 데 사용됨)가 자체 인수 분할 논리를 가지고 있어 표준 라이브러리가 배치 파일로 전달된 인수에 대해 맞춤형 이스케이핑을 구현해야 한다는 것입니다. 보고된 바에 따르면, 이스케이핑 로직이 충분히 철저하지 않아 악의적인 인수를 전달하여 임의의 셸 실행이 가능했습니다.  
  
AI 의 도움을 받음

## Comments



### Comment 24358

- Author: jeiea
- Created: 2024-04-11T13:18:35+09:00
- Points: 1

윈도 이스케이핑 문제라니까 그럴 수 있겠다란 생각이 드네요

### Comment 24345

- Author: tpdns90321
- Created: 2024-04-10T21:25:44+09:00
- Points: 1

전의 winrar 취약점이랑 유사한 것 같아요. 윈도우의 배치 파일 실행 방법과 파일 명명 제약을 활용했었죠.

### Comment 24343

- Author: aer0700
- Created: 2024-04-10T18:12:31+09:00
- Points: 1

역시 세상에 쉬운 일이 없군요 ㅠㅠ