The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

14.10.2016 09:50  Уязвимость в Guile, затрагивающая программы, привязанные к localhost

Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы.

Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешней сети. Тем временем, всё больше программ используют Web API и HTTP в своих сервисах. Если подобный сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" и браузер обратится к локальному сервису, ожидающему соединений на порту 6379.

Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика сервису можно отправить любую команду. Для скрытия обращения к localhost могут быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов к localhost, подобным способом можно организовать выполнение произвольного кода на языке Scheme на машине разработчика. Для локальных сервисов рекомендуется использовать unix-сокеты или именованные каналы, и не полагаться на привязку к localhost. Аналогичные способы атаки ранее были выявлены для БД Redis, Elasticsearch и Memcached.

  1. Главная ссылка к новости (https://lists.gnu.org/archive/...)
  2. OpenNews: Компилятор на базе GNU Guile достиг совместимости с приложениями на Emacs-Lisp
  3. OpenNews: Увидел свет GNU Guile 2.0
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: guile
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, A.Stahl, 10:53, 14/10/2016 [ответить] [смотреть все]
  • +20 +/
    Внимание! Утечка борща в третьей зоне. Уровень тревоги -- зелёно-фиолетовый. Рекомендуется погасить все localhost интерфейсы.
    Лисперам с личными котелками выстроиться в столовой и ждать указаний.
    Внимание...
     
     
  • 2.9, Аноним, 12:48, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]
  • –3 +/
    Главное чтоб дырявых ложек всем хватило.
     
  • 1.3, Аноним, 11:06, 14/10/2016 [ответить] [смотреть все]
  • +2 +/
    Не льстите себе, всем пофиг Её никто не использует кроме разработчиков ... весь текст скрыт [показать]
     
     
  • 2.7, Аноним, 12:09, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Используется в пакетном менеджере GUIX.
     
     
  • 3.12, Аноним, 13:14, 14/10/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    который тоже не использует никто, кроме разработчиков Они прям созданы друг ... весь текст скрыт [показать]
     
  • 2.26, Ordu, 18:36, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вообще, за редким исключением, языками программирования пользуются разработчики ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, кругомогорожено, 22:59, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Половина gschem редактор принципиальных схем из gEDA, САПР для электроники нап... весь текст скрыт [показать] [показать ветку]
     
  • 2.33, Аноним, 04:39, 15/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я использую.
     
  • 2.35, admin, 07:51, 15/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    pacman -Qii guile Required By make pacman -Qii make Depends On glib... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, Аноним, 14:31, 15/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Package make Source make-dfsg Version 4 0-8 1 Installed-Size 1057 Maintainer... весь текст скрыт [показать]
     
     
  • 4.39, admin, 01:03, 16/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Name make Version 4 2 1-1 Description GNU make util... весь текст скрыт [показать]
     
  • 4.40, admin, 01:11, 16/10/2016 [^] [ответить] [смотреть все]  
  • +/
    https://www.gnu.org/software/make/manual/make.html#Guile-Integration
     
  • 3.38, Яр, 20:55, 15/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    И это очень странно
     
  • 1.4, Crazy Alex, 11:19, 14/10/2016 [ответить] [смотреть все]  
  • +2 +/
    На вид - это скорее в браузерах уязвимость
     
     
  • 2.8, Аноним, 12:11, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Вот я тоже об этом подумал.
     
  • 2.13, Andrey Mitrofanov, 14:48, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Вот не надо грязи Это не уязвимость, это их основная функция загрузить неизест... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Аноним, 16:09, 14/10/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Это в браузере Если запретить кроссхост, то уязвимости не будет А поломанные с... весь текст скрыт [показать]
     
     
  • 4.31, angra, 04:30, 15/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А если пойти по ссылке и внимательно почитать Есть некий evilsite tld на котор... весь текст скрыт [показать]
     
  • 3.23, Crazy Alex, 17:12, 14/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну, намёк понял и даже частично согласен, но вообще-то у них там CSP на этот счё... весь текст скрыт [показать]
     
  • 1.6, freehck, 12:08, 14/10/2016 [ответить] [смотреть все]  
  • +1 +/
    Однако. Это получается, что чтобы атаковать лиспера, необходимо захватить DNS-сервер, которым он пользуется, вставить в него A-запись для какого-нибудь сайта 127.0.0.1, потом заставить этого лиспера открыть специальную страницу, которая будет слать запросы на этот сайт, и эксплуатировать уязвимость guile, чтобы выполнить на машине разработчика произвольный код...

    Знаете, наверное этот лиспер должен быть очень важным, раз на него такая изощрённая целевая атака идёт. :)

     
     
  • 2.10, Аноним, 12:52, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Или вставить запись в один из популярных host-файлов для блокировки рекламы
     
     
  • 3.11, Аноним, 13:04, 14/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Зачем вообще какую-то запись вставлять? Сразу к 127.0.0.1 коннектиться.
     
     
  • 4.15, Аноним, 15:35, 14/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Same Origin?
     
  • 4.28, Michael Shigorin, 19:28, 14/10/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Чтоб заманить на контролируемую страничку ... весь текст скрыт [показать]
     
  • 2.32, angra, 04:33, 15/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А кто сказал, что атака должна быть целевой Создаем ресурс, раскручиваем его ср... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, freehck, 00:34, 18/10/2016 [^] [ответить] [смотреть все]  
  • +/
    А мне кажется, что речь только про программы на Guile, стало быть обязательно ли... весь текст скрыт [показать]
     
  • 1.14, Аноним, 15:02, 14/10/2016 [ответить] [смотреть все]  
  • +2 +/
    Даже уязвимости в scheme не содержат побочных эффектов!
     
  • 1.16, Аноним, 15:36, 14/10/2016 [ответить] [смотреть все]  
  • +/
    Вот и до админов локалхоста добрались
     
     
  • 2.17, Админ локалхоста, 15:46, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    И что мне теперь делать?
     
     
  • 3.18, Andrey Mitrofanov, 15:55, 14/10/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Начинай использовать Нью Гайл Теперь это Настоящий Язык -- с уязвимаостями и се... весь текст скрыт [показать]
     
  • 1.19, Нанобот, 16:01, 14/10/2016 [ответить] [смотреть все]  
  • –1 +/
    Предлагаю запретить 127.0.0.1 и аналоги в браузерах для домохозяек
     
     
  • 2.21, Andrey Mitrofanov, 16:27, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Девелоперам на гну гайле завезли какие-то отдельные броузеры ... весь текст скрыт [показать] [показать ветку]
     
  • 2.22, Админ локалхоста, 16:38, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Предлагаю запретить etc hosts... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, Crazy Alex, 17:13, 14/10/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Подозрительный ты админ локалхоста Это ынтырпрайзные товарищи такое любят обычн... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 06:10, 15/10/2016 [^] [ответить] [смотреть все]  
  • +/
    Действительно подозрительный, для тех кто не понимает сарказма.
     
  • 1.25, Аноним, 17:42, 14/10/2016 [ответить] [смотреть все]  
  • –4 +/
    Tcp на локалхосте только хипстеры используют Бородатые мужики - только югикс-со... весь текст скрыт [показать]
     
     
  • 2.27, Crazy Alex, 18:51, 14/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    То есть авторы GNU Guile недостаточно бородаты? Так и запишем...
     
  • 1.37, Аноним, 16:19, 15/10/2016 [ответить] [смотреть все]  
  • –1 +/
    Ну что, зоркий глаз, на 15-й год ты заметил что браузер может ходить на локалхос... весь текст скрыт [показать]
     
     
  • 2.45, Andrey Mitrofanov, 11:53, 20/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Ну что, зоркий глаз, на 15-й год ты заметил что браузер может
    > ходить на локалхост? :)

    Кстати, эти их lisp-хакеры https://lists.gnu.org/archive/html/guile-devel/2016-10/msg00029.html "просто" сделали https://blog.lizzie.io/exploiting-CVE-2016-8606.html и без DNS-ов и их переключений, а ч-з обычный :-S XMLHttpRequest и немного lisp-магии с переписыванием lisp-программы [как данных], чтоб в ней не было пробелов и кавычек. Секьюрити-иксперты с DNS-костылями курят в сторонке.

    Вау!

    ...Броузер... js... и немедленно исполнить. Прекрасно!

     
  • 1.42, й, 14:21, 17/10/2016 [ответить] [смотреть все]  
  • –1 +/
    тссс, не подсказывайте им про эрланг
     
     
  • 2.43, Andrey Mitrofanov, 19:13, 17/10/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > тссс, не подсказывайте им про эрланг

    Не, не подсказывайте http://wingolog.org/archives/2016/10/12/an-incomplete-history-of-language-fac , не надо http://wingolog.org/archives/2016/09/20/concurrent-ml-versus-go .

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor