本文最初发表于The Register网站"，由InfoQ中文站翻译分享。

Rust安全专家解决了一个可能导致Windows机器上产生恶意命令注入的关键漏洞，建议程序员升级其Rust版本。

该漏洞的CVSS严重性评分为10分（满分即为10分），通过CVE-2024-24576编号进行跟踪。它会影响Rust标准库，当使用库的Command API在Windows上调用批处理文件时，它会出现不正确地转义参数，具体来讲就是std::process::Command。

Rust安全响应工作组（Rust Security Response Working Group）的Pietro Albini说到：“如果攻击者能够控制传递给生成进程的参数，那么他们就可以绕过转义执行任意的shell命令”，他负责撰写了该安全通知"。

报告这一问题"的东京Flatt Security公司的研究人员说，主要问题似乎源于Windows的cmd.exe程序，该程序有更复杂的解析规则，没有它的话，Windows就无法执行批处理文件。

Albini说，Windows的命令提示符有自己的参数分割逻辑，与标准库提供的常规Command::arg和Command::args API不同，这些API通常允许将不可信的输入安全地传递给生成的进程。

Albini说，“在Windows上，该实现比其他平台更复杂，因为Windows API只提供了一个包含所有参数的字符串给生成的进程，并且由生成的进程负责来拆分这些参数。”大多数的程序员使用标准C运行时的argv，在实践中，这基本上会以一种一致的方式来拆分参数。

“但不幸的是，据报道，我们的转义逻辑不完备，有可能传递恶意的参数，导致任意的shell均可执行。”

Chris Denton是Rust std库的贡献者，他开发了解决这个问题的修复程序，包括改进转义代码，并确保Command API在无法安全转义参数时返回InvalidInput错误。

Albini说，由于微软命令提示符的复杂性，团队无法确定在每种情况下都能安全转义参数的修复方法。

“如果你自己实现转义或只处理可信的输入，在Windows上也可以使用CommandExt::raw_arg方法来绕过标准库的转义逻辑。”

Rust在4月9日发布了1.77.2版本，并表示之前的每个版本都会受到该安全漏洞的影响。

这门语言得到了粉丝们的热爱，经常在Stack Overflow的排名中名列前茅，因为开发人员发现在工作中使用Rust非常令人愉悦，谷歌员工也称赞了它在生产力方面的优势"。该语言是国家安全机构敦促开发人员采用的较新的内存安全语言"之一，以取代C和C++等旧技术。

BatBadBut

RyotaK是报告该漏洞的研究人员，他们将其称为BatBadBut，该名称来源于该漏洞与批处理相关及其严重程度，即“很严重，但并不是最糟糕的”，该问题比Rust本身影响的技术更多。

Erlang、Go、Python和Ruby也受到了影响，它们已经更新了各自的文档页面，以提高对这个问题的重视程度。

Node.js和PHP现在都在编写补丁，而Rust和Haskell已经推出了修复程序。根据这名研究人员的报告，Java同样受到了影响，但它的团队没有计划解决这个问题。

RyotaK还指出，用户不应该仅仅依靠CVSS评级就得出结论，因为问题的严重性将取决于每个应用程序，应该根据具体情况重新考量和评估。