Rust 安全通告 CVE-2024-24576
Rust 安全响应工作组宣布了 CVE-2024-24576,该问题影响 Windows 上的 Rust 标准库。
🌐 The Rust Security Response WG announced CVE-2024-24576, which affects the Rust Standard Library on Windows.
TL;DR: 将你的 Rust 版本升级到
1.77.2。
🌐 How Does it Affect Tauri as a Library?
一些 Tauri 组织的仓库使用批处理文件(底层为 cmd.exe)来作为开发者环境工具,例如构建脚本。没有经过审核的仓库使用批处理文件来运行时代码。
🌐 Some Tauri organization repositories use batch files (cmd.exe under the hood) for developer environment tooling such as build scripts.
No reviewed repositories use batch files for runtime code.
根据此 CVE,我们没有看到 Tauri 项目存在额外风险。
🌐 We don’t see additional risks for the Tauri project based on this CVE.
尽管如此,我们仍将更新我们的 CI 系统以使用最新的 Rust 版本。
🌐 Nevertheless, we will update our CI systems to use the latest Rust version.
🌐 Is My Tauri App Affected?
一般来说,如果你满足以下所有条件,你可能会受到影响:
🌐 In general you are possibly affected if you fulfil all of the below criteria:
- 你在 Windows 上发布你的应用
- 你的项目使用
"execute": true启用了 Tauri v1shell功能,或使用allow-execute权限启用了 v2shell-plugin - 你允许在
shell功能的scope元素中使用参数 - 你将不可信的输入传递给
cmd.exe或.bat/.cmd文件并且未正确验证其范围 (🚩)
如果你的申请未满足任何这些标准,你很可能不会受到影响。
🌐 If any of these criteria are not fulfilled in your application you are likely NOT affected.
如果你在应用中实现了自定义命令或逻辑,这些命令或逻辑直接暴露了 Rust Command 并在运行时提供参数,你可能会受到影响。虽然这并非 Tauri 特有,但这种模式可能会影响任何 Rust 项目。
🌐 If you implement custom commands or logic written in your application that directly exposes the Rust Command with arguments provided at runtime, you may be affected.
While not Tauri specific, this pattern could affect any Rust project.
🌐 Conclusion
请尽快将你的 Rust 版本升级到 1.77.2,并向你的用户分发更新。
🌐 Please upgrade your Rust version to 1.77.2
as soon as possible and distribute updates to your users.
这项调查和撰写工作是在我们合作伙伴 CrabNebula ❤️ 的协作下进行的。
🌐 This investigation and writeup was performed in cooperation with our partner CrabNebula ❤️.
在这里阅读有关此安全公告的更多信息。 这影响许多编程语言,这个特定的CVE只是为Rust提交的那个。
Tauri 中文网 - 粤ICP备13048890号
Nodejs.cn 旗下网站