রাস্ট প্রজেক্ট তার স্ট্যান্ডার্ড লাইব্রেরির জন্য একটি আপডেট জারি করেছে, যখন একজন দুর্বলতা গবেষক আবিষ্কার করেছেন যে উইন্ডোজ সিস্টেমে ব্যাচ ফাইলগুলি চালানোর জন্য ব্যবহৃত একটি নির্দিষ্ট ফাংশন ইনজেকশন ত্রুটি ব্যবহার করে শোষণ করা যেতে পারে।
রাস্ট প্রোগ্রামিং ভাষার সাথে অন্তর্ভুক্ত সাধারণ ফাংশনগুলির সেট, যা স্ট্যান্ডার্ড লাইব্রেরি নামে পরিচিত, এটি কমান্ড এপিআই-এর মাধ্যমে উইন্ডোজ ব্যাচ ফাইলগুলি চালানোর ক্ষমতা - এর অন্যান্য অনেক ক্ষমতার মধ্যে - প্রদান করে। ফাংশনটি, যদিও, এপিআই-তে ইনপুটগুলিকে যথেষ্ট কঠোরভাবে প্রক্রিয়া করেনি যাতে এক্সিকিউশনের মধ্যে কোড ইনজেকশনের সম্ভাবনা বাদ দেওয়া যায়। একটি মরিচা নিরাপত্তা প্রতিক্রিয়া ওয়ার্কিং গ্রুপ পরামর্শ 9 এপ্রিল প্রকাশিত।
যদিও মরিচা তার স্মৃতি-নিরাপত্তা বৈশিষ্ট্যের জন্য সুপরিচিত, ঘটনাটি স্পষ্ট করে যে প্রোগ্রামিং ভাষা লজিক বাগগুলির বিরুদ্ধে প্রমাণ নয়, ইয়ার মিজরাহি বলেছেন, অ্যাপ্লিকেশন-সিকিউরিটি ফার্ম JFrog-এর একজন সিনিয়র দুর্বলতা গবেষক।
"সামগ্রিকভাবে, মরিচা-এর মেমরি নিরাপত্তা একটি উল্লেখযোগ্য সুবিধা, কিন্তু ডেভেলপারদের তাদের জং-ভিত্তিক অ্যাপ্লিকেশনগুলির সামগ্রিক নিরাপত্তা এবং নির্ভরযোগ্যতা নিশ্চিত করার জন্য যৌক্তিক বাগগুলির সম্ভাব্যতার দিকেও গভীর মনোযোগ দিতে হবে," তিনি বলেছেন। "এই ধরনের যৌক্তিক সমস্যাগুলি সমাধান করার জন্য, মরিচা একটি কঠোর পরীক্ষা এবং কোড পর্যালোচনা প্রক্রিয়াকে উত্সাহিত করে, সেইসাথে যৌক্তিক বাগগুলি সনাক্ত করতে এবং প্রশমিত করতে স্ট্যাটিক বিশ্লেষণ সরঞ্জামগুলির ব্যবহারকে উত্সাহিত করে।"
মরিচা একটি অত্যন্ত সুরক্ষিত প্রোগ্রামিং ভাষা হিসাবে খ্যাতি অর্জন করেছে, কারণ এটি মেমরি-নিরাপত্তা দুর্বলতা হিসাবে পরিচিত ত্রুটিগুলির প্রায়শই-গুরুতর শ্রেণীর অ্যাপ্লিকেশনগুলিকে খোলা রাখে না। গুগল দায়ী করেছে মেমরি-অনিরাপদ কোড একটি ড্রপ মেমরি-সেফ ল্যাঙ্গুয়েজ, যেমন রাস্ট এবং কোটলিন-এ স্থানান্তর করতে, যখন মাইক্রোসফ্ট দেখেছে যে 2018 সাল পর্যন্ত, যখন এটি মেমরি-নিরাপদ ভাষায় স্থানান্তরিত হয়েছিল, এই ধরনের দুর্বলতাগুলি নিয়মিতভাবে সমস্ত নিরাপত্তা সমস্যার 70% জন্য দায়ী.
উইন্ডোজ একটি ব্যাচ ইস্যু করে
সর্বশেষ সমস্যাটি মেমরি-নিরাপত্তার দুর্বলতা নয়, কিন্তু অবিশ্বস্ত ইনপুট প্রক্রিয়া করার জন্য ব্যবহৃত যুক্তির সাথে একটি সমস্যা। রাস্টের স্ট্যান্ডার্ড লাইব্রেরির অংশটি বিকাশকারীকে প্রক্রিয়াকরণের জন্য উইন্ডোজ মেশিনে একটি ব্যাচ ফাইল পাঠানোর জন্য একটি ফাংশন কল করার অনুমতি দেয়। একটি ব্যাচ ফাইল হিসাবে হোস্টে কোড জমা দেওয়ার কারণ রয়েছে, রাস্ট ফাউন্ডেশনের প্রযুক্তি পরিচালক জোয়েল মার্সি বলেছেন, যা প্রোগ্রামিং ভাষার রক্ষণাবেক্ষণকারী এবং রাস্ট ইকোসিস্টেমকে সমর্থন করে।
"ব্যাচ ফাইলগুলি সিস্টেমে অনেক কারণে চালিত হয়, এবং মরিচা একটি API প্রদান করে যা আপনাকে মোটামুটি সহজে চালানোর অনুমতি দেয়," তিনি বলেছেন। "সুতরাং এটি জং-এর জন্য অগত্যা সবচেয়ে সাধারণ ব্যবহারের ক্ষেত্রে নয়, এপিআই, ফিক্সড প্যাচ প্রয়োগ করার আগে, দূষিত অভিনেতাদের তাত্ত্বিকভাবে নির্বিচারে আদেশ চালানোর মাধ্যমে আপনার সিস্টেম দখল করার অনুমতি দেওয়া হয়েছিল এবং এটি অবশ্যই একটি গুরুতর দুর্বলতা।"
সাধারণত, একজন ডেভেলপার স্ট্যান্ডার্ড লাইব্রেরির অংশ, কমান্ড অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস (API) এর মাধ্যমে একটি ব্যাচ প্রক্রিয়া হিসাবে কার্যকর করার জন্য উইন্ডোজ হোস্টের কাছে একটি কাজের চাপ ফরোয়ার্ড করতে পারে। সাধারণত, রাস্ট কমান্ড এপিআই-তে যে কোনও কলের সুরক্ষার গ্যারান্টি দেয়, তবে এই ক্ষেত্রে, মরিচা প্রকল্পটি সমস্ত আর্গুমেন্টের সম্পাদন রোধ করার উপায় খুঁজে পায়নি, প্রাথমিকভাবে কারণ উইন্ডোজ কোনও ধরণের মান মেনে চলে না এবং যে API একটি আক্রমণকারীকে কোড জমা দেওয়ার অনুমতি দিতে পারে যা তখন কার্যকর করা হবে।
"দুর্ভাগ্যবশত এটি রিপোর্ট করা হয়েছে যে আমাদের পালানোর যুক্তি যথেষ্ট পুঙ্খানুপুঙ্খ ছিল না, এবং এটি দূষিত যুক্তি পাস করা সম্ভব ছিল যার ফলে নির্বিচারে শেল মৃত্যুদন্ড ঘটবে," রাস্ট সিকিউরিটি রেসপন্স ডব্লিউজি অনুসারে।
মরিচা প্রকল্প প্রতিক্রিয়াশীল প্রমাণিত
যেকোন দুর্বলতার সাথে মোকাবিলা করা মাথাব্যথা হতে পারে, রাস্ট প্রজেক্ট দেখিয়েছে যে গ্রুপটি দ্রুত সমস্যার সমাধান করে, বিশেষজ্ঞরা বলছেন। স্ট্যান্ডার্ড লাইব্রেরি দুর্বলতা, জন্য CVE-2024-24576, শেষ পর্যন্ত উইন্ডোজ ব্যাচ-প্রসেসিং সমস্যার সাথে একটি সমস্যা এবং অন্যান্য প্রোগ্রামিং ভাষাগুলিকে প্রভাবিত করে, যদি তারা উইন্ডোজ ব্যাচ প্রক্রিয়ায় পাঠানো আর্গুমেন্টগুলিকে পর্যাপ্তভাবে পার্স না করে। JFrog's Mizrahi বলেছেন, Windows CMD.exe প্রক্রিয়ায় আর্গুমেন্ট পাস করার জন্য মরিচা প্রকল্পটি প্রথম দরজার বাইরের বলে মনে হচ্ছে।
গোষ্ঠীগুলি সম্পূর্ণভাবে সমস্যাটি নির্মূল করতে পারেনি, তবে কমান্ড API কোনও ত্রুটি ফেরত দেবে না যখন ফাংশনে পাস করা কোনও বৃদ্ধি অনিরাপদ হতে পারে, মরিচা প্রকল্প বলেছে।
JFrog's Mizrahi রাস্টকে তার স্ট্যাটিক অ্যাপ্লিকেশন সিকিউরিটি টেস্টিং এর ব্যবহার প্রসারিত করার এবং ফাজিং এবং ডাইনামিক টেস্টিং এর ব্যবহার প্রসারিত করার জন্য অনুরোধ করেছে।
"সামগ্রিকভাবে, মেমরি সুরক্ষার উপর জোর দিয়ে এবং কঠোর পরীক্ষার অনুশীলনকে উত্সাহিত করে মরিচা সঠিক পথে রয়েছে," তিনি বলেছেন। "স্থির বিশ্লেষণ এবং অস্পষ্টকরণে অব্যাহত অগ্রগতির সাথে এই প্রচেষ্টাগুলিকে একত্রিত করা মরিচা সম্প্রদায় এবং বৃহত্তর সফ্টওয়্যার শিল্পকে আগামী বছরগুলিতে যৌক্তিক বাগ এবং ইনপুট বৈধতা ত্রুটিগুলি মোকাবেলায় উল্লেখযোগ্য অগ্রগতি করতে সহায়তা করতে পারে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/critical-rust-flaw-poses-exploit-threat-in-specific-windows-use-cases
- : আছে
- : হয়
- :না
- $ ইউপি
- 2018
- 7
- 9
- a
- ক্ষমতা
- অনুযায়ী
- অভিনেতা
- ঠিকানা
- সম্ভাষণ
- পর্যাপ্তরূপে
- মেনে চলে
- উন্নয়নের
- সুবিধা
- পর
- বিরুদ্ধে
- সব
- অনুমতি
- অনুমতি
- অনুমতি
- এছাড়াও
- মধ্যে
- an
- বিশ্লেষণ
- এবং
- কোন
- API
- মনে হচ্ছে,
- আবেদন
- অ্যাপ্লিকেশন নিরাপত্তা
- অ্যাপ্লিকেশন
- এপ্রিল
- অবাধ
- রয়েছি
- আর্গুমেন্ট
- AS
- At
- আক্রমণকারী
- মনোযোগ
- বৃদ্ধি
- BE
- কারণ
- আগে
- হচ্ছে
- উদার করা
- বৃহত্তর
- বাগ
- কিন্তু
- by
- কল
- CAN
- ক্ষমতা
- কেস
- মামলা
- শ্রেণী
- ঘনিষ্ঠ
- কোড
- কোড পূনর্বিবেচনা
- মিশ্রন
- আসা
- হুকুম
- সাধারণ
- সম্প্রদায়
- সম্পূর্ণরূপে
- অব্যাহত
- পারা
- সংকটপূর্ণ
- ডিলিং
- স্পষ্টভাবে
- বিকাশকারী
- ডেভেলপারদের
- DID
- Director
- আবিষ্কৃত
- do
- না
- দরজা
- ড্রপ
- প্রগতিশীল
- সহজে
- বাস্তু
- প্রচেষ্টা
- বাছা
- জোর
- উত্সাহ দেয়
- উদ্দীপক
- যথেষ্ট
- নিশ্চিত করা
- ভুল
- এক্সিকিউট
- নিষ্পন্ন
- ফাঁসি
- বিস্তৃত করা
- বিশেষজ্ঞদের
- কাজে লাগান
- শোষিত
- নিরপেক্ষভাবে
- বৈশিষ্ট্য
- ফাইল
- নথি পত্র
- আবিষ্কার
- দৃঢ়
- প্রথম
- ঠিক করা
- স্থায়ী
- ত্রুটি
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- অগ্রবর্তী
- পাওয়া
- ভিত
- ক্রিয়া
- ক্রিয়াকলাপ
- অর্জন
- গুগল
- গ্রুপ
- গ্রুপের
- গ্যারান্টী
- he
- সাহায্য
- নিমন্ত্রণকর্তা
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- সনাক্ত করা
- if
- বাস্তবায়িত
- in
- ঘটনা
- অন্তর্ভুক্ত
- শিল্প
- ইনপুট
- ইনপুট
- ইন্টারফেস
- মধ্যে
- সমস্যা
- ইস্যু করা
- সমস্যা
- IT
- এর
- জোএল
- JPG
- পরিচিত
- ভাষা
- ভাষাসমূহ
- সর্বশেষ
- ত্যাগ
- লাইব্রেরি
- যুক্তিবিদ্যা
- যৌক্তিক
- মেশিন
- করা
- বিদ্বেষপরায়ণ
- অনেক
- স্মৃতি
- মাইক্রোসফট
- প্রশমিত করা
- সেতু
- অবশ্যই
- অগত্যা
- স্মরণীয়
- of
- অফার
- on
- খোলা
- অন্যান্য
- আমাদের
- বাইরে
- শেষ
- সামগ্রিক
- অংশ
- পাস
- গৃহীত
- পাসিং
- তালি
- বেতন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- ভঙ্গি
- সম্ভাবনা
- সম্ভব
- সম্ভাব্য
- চর্চা
- প্রতিরোধ
- প্রাথমিকভাবে
- সমস্যা
- প্রক্রিয়া
- প্রক্রিয়াজাতকরণ
- প্রোগ্রামিং
- প্রোগ্রামিং ভাষা
- প্রকল্প
- প্রমাণ
- প্রমাণ
- উপলব্ধ
- প্রকাশিত
- দ্রুত
- কারণে
- নিয়মিতভাবে
- বিশ্বাসযোগ্যতা
- রিপোর্ট
- খ্যাতি
- গবেষক
- সমাধান করা
- প্রতিক্রিয়া
- প্রতিক্রিয়াশীল
- ফল
- প্রত্যাবর্তন
- এখানে ক্লিক করুন
- অধিকার
- কঠোর
- চালান
- দৌড়
- জং
- s
- নিরাপত্তা
- বলেছেন
- বলা
- বলেছেন
- নিরাপদ
- নিরাপত্তা
- পাঠান
- জ্যেষ্ঠ
- প্রেরিত
- সেট
- খোল
- পরিবর্তন
- স্থানান্তরিত
- প্রদর্শিত
- গুরুত্বপূর্ণ
- So
- সফটওয়্যার
- নির্দিষ্ট
- মান
- স্থির
- পদক্ষেপ
- জমা
- জমা
- এমন
- সমর্থন
- পদ্ধতি
- সিস্টেম
- গ্রহণ করা
- প্রযুক্তিঃ
- পরীক্ষামূলক
- যে
- সার্জারির
- তাদের
- তারপর
- সেখানে।
- এইগুলো
- তারা
- এই
- পুঙ্খানুপুঙ্খ
- সেগুলো
- হুমকি
- দ্বারা
- থেকে
- সরঞ্জাম
- পথ
- সাধারণত
- পরিণামে
- আন্ডারস্কোর
- দুর্ভাগ্যবশত
- পর্যন্ত
- আপডেট
- কমিটি
- ব্যবহার
- ব্যবহার ক্ষেত্রে
- ব্যবহৃত
- ব্যবহার
- বৈধতা
- খুব
- দুর্বলতা
- দুর্বলতা
- ছিল
- উপায়..
- আমরা একটি
- কখন
- যে
- যখন
- ইচ্ছা
- জানালা
- সঙ্গে
- কাজ
- কাজ গ্রুপ
- would
- বছর
- আপনি
- আপনার
- zephyrnet