Une nouvelle faille de sécurité hautement critique a été découverte dans la bibliothèque Rust. Satnam Narang, Senior Staff Research Engineer chez le spécialiste de la gestion de l’exposition Tenable, explique plus en détails les implications et le fonctionnement de cette faille :
« Récemment, un chercheur en sécurité connu sous le nom de « RyotaK » a révélé une vulnérabilité dans plusieurs langages de programmation qui peut conduire à une injection de commande sur les systèmes Windows en fonction d’un certain nombre de conditions. La faille, baptisée BatBadBut, provient de la manière dont les fichiers batch sont traités. Le chercheur a décrit cette faille liée aux fichiers batch comme critique, mais elle n’est certainement pas la pire.
Un certain nombre de langages de programmation sont affectés, bien que plusieurs d’entre eux se contentent de fournir des mises à jour de leur documentation, notamment Python, Ruby, GO et Erlang, tandis que des correctifs sont disponibles pour Haskell, Node.js, PHP et Rust. Rust a publié un avis, attribuant un score CVSSv3 de 10.0 pour la faille. RyotaK précise que le score CVSS indiqué pour cette vulnérabilité est calculé sur la base du scénario le plus défavorable, ce qui explique pourquoi Rust lui a attribué le score CVSS maximal.
Cette vulnérabilité aura probablement peu d’impact significatif sur la plupart des utilisateurs, ni même sur les développeurs ou les responsables de la maintenance des logiciels. Pour les langages de programmation ou les applications concernés, l’application des correctifs eux-mêmes est généralement une bonne pratique, tout comme le respect des lignes directrices relatives à l’échappement des entrées contrôlées par l’utilisateur, ainsi que des autres conseils partagés. »
