Rust 安全公告 CVE-2024-24576

2024 年 4 月 10 日

Tillmann Weidinger

Tauri 安全

Chip Reed

Tauri 安全

Rust 安全响应工作组宣布了 CVE-2024-24576，该公告影响 Windows 上 Rust 标准库。

TL;DR：将您的 Rust 版本升级到 1.77.2。

它如何影响作为库的 Tauri？

一些 Tauri 组织仓库使用批处理文件（底层使用 cmd.exe）用于开发环境工具，例如构建脚本。没有经过审查的仓库在运行时代码中使用批处理文件。

我们认为基于此 CVE，Tauri 项目没有额外的风险。

尽管如此，我们将更新我们的 CI 系统以使用最新的 Rust 版本。

一般来说，如果您满足以下所有条件，您可能会受到影响

您在 Windows 上发布您的应用程序
您的项目启用了 Tauri v1 shell 功能，且 "execute": true 或 v2 shell-plugin 插件，且具有 allow-execute 权限
您允许在 shell 功能的 scope 元素中使用参数
您将不受信任的输入传递给 cmd.exe 或 .bat/.cmd 文件，并且未正确验证作用域 (🚩)

如果您的应用程序不满足上述任何条件，您可能不会受到影响。

如果您在应用程序中实现了自定义命令或逻辑，直接公开了带有运行时提供的参数的 Rust Command，您可能会受到影响。虽然不是 Tauri 特有的，但这种模式可能会影响任何 Rust 项目。

请尽快将您的 Rust 版本升级到 1.77.2，并向您的用户分发更新。

此调查和报告撰写与我们的合作伙伴 CrabNebula ❤️ 合作完成。

在此处阅读更多关于此安全公告的信息。这影响了许多编程语言，这个特定的 CVE 只是为 Rust 提交的。