从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称: batch files argument escaping could be bypassed with trailing whitespace or periods - 发布者:pietroalbini - 发布时间:1小时 ago - CVE编号:CVE-2024-43402 - 严重性:Low - 受影响版本:< 1.81.0 - 已修复版本:1.81.0 2. 描述: - 2024年4月9日,Rust Security Response WG披露了CVE-2024-24576,其中 在Windows上执行批处理文件时未正确转义参数。 - 修复不完整,当批处理文件名有尾随空白字符或句点时,可以绕过修复。 - 修复的严重性为低,因为触发条件较为特殊。 3. 缓解措施: - 如果受影响版本为1.77.2或更高,可以移除批处理文件名的尾随空白字符和句点,以绕过不完整的修复。 - Rust 1.81.0将在2024年9月5日发布,将更新标准库以应用CVE-2024-24576的缓解措施,无论批处理文件名中是否有尾随字符。 4. 受影响版本: - 所有在1.81.0之前的Rust版本都受影响,如果代码或依赖项在Windows上执行带有尾随空白字符或句点的批处理文件,并传递未信任的参数。 5. 致谢: - 感谢Kainan Zhang (@4xpl0r3r) 负责披露此漏洞。 - 感谢Rust项目成员,包括Chris Denton、Amanieu D'Antras、Pietro Albini、Manish Goregaokar和Josh Stone,帮助披露不完整的修复。 这些信息提供了关于漏洞的详细描述、受影响的版本范围以及缓解措施的建议。