CVE-2024-43402

Rust is a programming language. The fix for CVE-2024-24576, where `std::process::Command` incorrectly escaped arguments when invoking batch files on Windows, was incomplete. Prior to Rust version 1.81.0, it was possible to bypass the fix when the batch file name had trailing whitespace or periods (which are ignored and stripped by Windows). To determine whether to apply the `cmd.exe` escaping rules, the original fix for the vulnerability checked whether the command name ended with `.bat` or `.cmd`. At the time that seemed enough, as we refuse to invoke batch scripts with no file extension. Windows removes trailing whitespace and periods when parsing file paths. For example, `.bat. .` is interpreted by Windows as `.bat`, but the original fix didn't check for that. Affected users who are using Rust 1.77.2 or greater can remove the trailing whitespace (ASCII 0x20) and trailing periods (ASCII 0x2E) from the batch file name to bypass the incomplete fix and enable the mitigations. Users are affected if their code or one of their dependencies invoke a batch script on Windows with trailing whitespace or trailing periods in the name, and pass untrusted arguments to it. Rust 1.81.0 will update the standard library to apply the CVE-2024-24576 mitigations to all batch files invocations, regardless of the trailing chars in the file name.
Configurations

Configuration 1 (hide)

cpe:2.3:a:rust-lang:rust:*:*:*:*:*:*:*:*

History

01 Oct 2024, 15:12

Type Values Removed Values Added
References () https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html - () https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html - Vendor Advisory
References () https://github.com/rust-lang/rust/security/advisories/GHSA-2xg3-7mm6-98jj - () https://github.com/rust-lang/rust/security/advisories/GHSA-2xg3-7mm6-98jj - Mitigation, Third Party Advisory
References () https://learn.microsoft.com/en-us/troubleshoot/windows-client/shell-experience/file-folder-name-whitespace-characters - () https://learn.microsoft.com/en-us/troubleshoot/windows-client/shell-experience/file-folder-name-whitespace-characters - Patch, Vendor Advisory
First Time Rust-lang
Rust-lang rust
CVSS v2 : unknown
v3 : 8.1
v2 : unknown
v3 : 8.8
CPE cpe:2.3:a:rust-lang:rust:*:*:*:*:*:*:*:*

05 Sep 2024, 12:53

Type Values Removed Values Added
Summary
  • (es) Rust es un lenguaje de programación. La corrección para CVE-2024-24576, donde `std::process::Command` escapaba incorrectamente los argumentos al invocar archivos por lotes en Windows, estaba incompleta. Antes de la versión 1.81.0 de Rust, era posible omitir la corrección cuando el nombre del archivo por lotes tenía espacios en blanco o endpoints (que Windows ignora y elimina). Para determinar si se debían aplicar las reglas de escape de `cmd.exe`, la corrección original para la vulnerabilidad verificaba si el nombre del comando terminaba con `.bat` o `.cmd`. En ese momento, eso parecía suficiente, ya que nos negamos a invocar scripts por lotes sin extensión de archivo. Windows elimina los espacios en blanco y los endpoints al analizar las rutas de archivo. Por ejemplo, `.bat. .` es interpretado por Windows como `.bat`, pero la corrección original no lo verificaba. Los usuarios afectados que utilicen Rust 1.77.2 o una versión posterior pueden eliminar los espacios en blanco finales (ASCII 0x20) y los endpoints (ASCII 0x2E) del nombre del archivo por lotes para omitir la corrección incompleta y habilitar las mitigaciones. Los usuarios se ven afectados si su código o una de sus dependencias invocan un script por lotes en Windows con espacios en blanco finales o endpoints en el nombre y le pasan argumentos no confiables. Rust 1.81.0 actualizará la librería estándar para aplicar las mitigaciones de CVE-2024-24576 a todas las invocaciones de archivos por lotes, independientemente de los caracteres finales en el nombre del archivo.

04 Sep 2024, 16:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-04 16:15

Updated : 2024-10-01 15:12


NVD link : CVE-2024-43402

Mitre link : CVE-2024-43402

CVE.ORG link : CVE-2024-43402


JSON object : View

Products Affected

rust-lang

  • rust
CWE
CWE-88

Improper Neutralization of Argument Delimiters in a Command ('Argument Injection')

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')