Rust 표준 라이브러리를 위한 보안 권고 (CVE-2024-24576)

러스트 표준 라이브러리에 대한 보안 권고가 발표되었습니다. 이는 CVE-2024-24576으로 식별되는 취약점과 관련이 있으며, 특히 Windows에서 .bat 또는 .cmd 확장자를 가진 배치 파일을 Command API를 사용하여 호출할 때 인수를 적절히 이스케이프하지 않는 문제로 인해 발생했습니다.

공격자가 생성된 프로세스로 전달된 인수를 제어할 수 있는 경우, 이스케이핑을 우회하여 임의의 셸 명령어를 실행할 수 있습니다. 이 취약점은 신뢰할 수 없는 인수로 Windows에서 배치 파일을 호출하는 경우에만 중요합니다. 다른 플랫폼이나 사용 사례는 영향을 받지 않습니다.

문제의 근본 원인은 Windows에서 cmd.exe (배치 파일을 실행하는 데 사용됨)가 자체 인수 분할 논리를 가지고 있어 표준 라이브러리가 배치 파일로 전달된 인수에 대해 맞춤형 이스케이핑을 구현해야 한다는 것입니다. 보고된 바에 따르면, 이스케이핑 로직이 충분히 철저하지 않아 악의적인 인수를 전달하여 임의의 셸 실행이 가능했습니다.

AI 의 도움을 받음