• はてなブックマーク
  • テクノロジー
  • 多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/
  • Twitterでシェア
  • Facebookでシェア

多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/

テクノロジー カテゴリーの変更を依頼 記事元:forest.watch.impress.co.jp
適切な情報に変更
74 usersがブックマーク コメント12

    記事へのコメント12

    • 注目コメント
    • 新着コメント
    z67kjh
    z67kjh CreateProcessはbypass_shellモードを指定していても引数に*.batや*.cmdがあると勝手にシェルを起動する…この状況で適切にエスケープしろと言われても、ウンコに説教を垂れられている気分だ

    2024/04/15 リンク

    その他
    murasuke
    murasuke “ 「Rust」言語の場合、「cmd.exe」が複雑過ぎてすべてのケースで引数を正しくエスケープする解決策が見つからなかった”ほかの言語は大丈夫なのか?

    2024/04/15 リンク

    その他
    craftone
    craftone Rustコミュニティが匙を投げてるのに他の言語がちゃんと対応できるとは思えんな。。

    2024/04/16 リンク

    その他
    strawberryhunter
    strawberryhunter JavaとかPythonとか脆弱性が報告されていない言語の実装を見れば良さそうな気もするけど。Rustの対応→https://github.com/rust-lang/rust/compare/1.77.1...1.77.2

    2024/04/16 リンク

    その他
    matarillo
    matarillo Windowsの仕様は複雑怪奇で脆弱性を埋め込みやすいので捨てたい気持ちはわかるが「Windowsを直せ」は多分通らない。cmd.exeを暗黙に呼ばないWin32APIがあれば嬉しいけど、cmd.exeを明示的に呼ぶ時は結局エスケープに苦労する

    2024/04/18 リンク

    その他
    kumaroku
    kumaroku a

    2024/04/16 リンク

    その他
    defiant
    defiant この記事をおすすめしました

    2024/04/16 リンク

    その他
    asakura-t
    asakura-t ↓「CreateProcess()で意図せずcmd.exeを利用してしまう」のが問題っぽいので、cmd.exeのバグではないのでは?

    2024/04/16 リンク

    その他
    xlc
    xlc Windows(MS-DOS?)を直すべきでは?

    2024/04/16 リンク

    その他
    strawberryhunter
    strawberryhunter JavaとかPythonとか脆弱性が報告されていない言語の実装を見れば良さそうな気もするけど。Rustの対応→https://github.com/rust-lang/rust/compare/1.77.1...1.77.2

    2024/04/16 リンク

    その他
    craftone
    craftone Rustコミュニティが匙を投げてるのに他の言語がちゃんと対応できるとは思えんな。。

    2024/04/16 リンク

    その他
    Falky
    Falky なんもわからん手なのだけど、それはWindows側の脆弱性ではないんです…?CreateProcess()あるいはcmd.exeを直すべき話じゃないのかしら…。互換性無罪? https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

    2024/04/16 リンク

    その他
    z67kjh
    z67kjh CreateProcessはbypass_shellモードを指定していても引数に*.batや*.cmdがあると勝手にシェルを起動する…この状況で適切にエスケープしろと言われても、ウンコに説教を垂れられている気分だ

    2024/04/15 リンク

    その他
    murasuke
    murasuke “ 「Rust」言語の場合、「cmd.exe」が複雑過ぎてすべてのケースで引数を正しくエスケープする解決策が見つからなかった”ほかの言語は大丈夫なのか?

    2024/04/15 リンク

    その他
    Fushihara
    Fushihara Windowsは根っこのプロセス起動APIでコマンドライン引数を配列ではなく1つの文字列しか渡せない仕様をいい加減なんとかしてくれ〜

    2024/04/15 リンク

    その他
    deep_one
    deep_one cmd.exeの側では「バグではなく仕様」なのかな。

    2024/04/15 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/

    ブックマークしたユーザー

    • matarillo2024/04/18 matarillo
    • toshiharu_z2024/04/17 toshiharu_z
    • meerkat2024/04/17 meerkat
    • daikikohara2024/04/16 daikikohara
    • dhrname2024/04/16 dhrname
    • fashi2024/04/16 fashi
    • kumaroku2024/04/16 kumaroku
    • defiant2024/04/16 defiant
    • rryu2024/04/16 rryu
    • anonymighty2024/04/16 anonymighty
    • cu392024/04/16 cu39
    • rck102024/04/16 rck10
    • asakura-t2024/04/16 asakura-t
    • kazkun2024/04/16 kazkun
    • whitz2024/04/16 whitz
    • xlc2024/04/16 xlc
    • mgl2024/04/16 mgl
    • advblog2024/04/16 advblog
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.