このウェブページのスクリーンショットから、脆弱性に関する以下の主要情報を取得できます: 1. 脆弱性情報: - 脆弱性名称: バッチファイルの引数エスケープ処理において、末尾の空白文字やピリオドで回避可能 - 公開者: pietroalbini - 公開日時: 1時間前 - CVE番号: CVE-2024-43402 - 深刻度: Low(低) - 影響を受けるバージョン: < 1.81.0 - 修正済みのバージョン: 1.81.0 2. 解説: - 2024年4月9日、Rust Security Response WG は CVE-2024-24576 を公表しました。この脆弱性では、Windows 上で がバッチファイルを実行する際、引数のエスケープ処理が正しく行われていませんでした。 - 最初の修正は不十分で、バッチファイル名の末尾に空白文字やピリオドがある場合、その修正を回避できます。 - 攻撃条件が比較的限定的であるため、深刻度は Low(低)とされています。 3. 緩和策: - 影響を受けるバージョンが 1.77.2 以上の場合、バッチファイル名の末尾の空白文字やピリオドを削除することで、不十分な修正の回避を防ぐことができます。 - Rust 1.81.0 は 2024年9月5日にリリース予定であり、標準ライブラリが更新され、バッチファイル名に末尾文字の有無に関わらず、CVE-2024-24576 の緩和策が適用されます。 4. 影響を受けるバージョン: - 1.81.0 より前のすべての Rust バージョンが影響を受けません。ただし、Windows 環境で末尾の空白文字やピリオドを持つバッチファイルを実行し、信頼できない引数を渡すコードまたは依存関係がある場合に限り、脆弱性の影響を受けます。 5. 謝辞: - 本脆弱性の開示に尽力された Kainan Zhang (@4xpl0r3r) に感謝します。 - 不十分な修正の開示に協力した Rust プロジェクトメンバの皆様(Chris Denton、Amanieu D'Antras、Pietro Albini、Manish Goregaokar、Josh Stone)に感謝します。 これらの情報は、脆弱性の詳細な説明、影響を受けるバージョンの範囲、および緩和策の推奨事項を提供しています。