Rust 安全公告 CVE-2024-24576

2024年4月10日

Tillmann Weidinger

Tauri 安全團隊

Chip Reed

Tauri 安全團隊

Rust 安全回應工作小組宣布了 CVE-2024-24576，這會影響 Windows 上的 Rust 標準函式庫。

重點摘要：請將您的 Rust 版本升級至 1.77.2。

這如何影響 Tauri 作為一個函式庫？

某些 Tauri 組織的儲存庫使用批次檔（底層為 cmd.exe）作為開發環境工具，例如建置腳本。經審查的儲存庫皆未使用批次檔於執行階段程式碼。

根據此 CVE，我們認為 Tauri 專案沒有額外風險。

儘管如此，我們仍將更新我們的 CI 系統以使用最新的 Rust 版本。

一般來說，如果您符合以下所有條件，則可能受到影響

您的應用程式發布在 Windows 上
您的專案啟用了 Tauri v1 shell 功能，並設定 "execute": true，或是 v2 shell-plugin，並具有 allow-execute 權限
您允許在 shell 功能的 scope 元素中使用參數
您將不受信任的輸入傳遞給 cmd.exe 或 .bat/.cmd 檔案，並且未正確驗證範圍 (🚩)

如果您的應用程式不符合任何這些條件，您可能不會受到影響。

如果您實作了自訂命令或邏輯，在您的應用程式中直接公開 Rust Command 並在執行階段提供參數，您可能會受到影響。雖然這不是 Tauri 特有的問題，但這種模式可能會影響任何 Rust 專案。

請盡快將您的 Rust 版本升級至 1.77.2，並向您的使用者發布更新。

本次調查和撰寫與我們的合作夥伴 CrabNebula ❤️ 共同完成。

在此處閱讀更多關於此安全公告的資訊。這影響了許多程式語言，此特定的 CVE 僅是針對 Rust 提交的。