The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract

05.12.2022 11:23

Несколько недавно выявленных уязвимостей:

  • В редакторе Visual Studio Code (VS Code) выявлена критическая уязвимость (CVE-2022-41034), позволяющая организовать выполнение кода при открытии пользователем ссылки, подготовленной атакующим. Код может быть выполнен как на компьютере с VS Code, так и на любых других компьютерах, подключённых к VS Code при помощи функции "Remote Development". Проблема представляет наибольшую опасность для пользователей web-версии VS Code и web-редакторов на её основе, включая GitHub Codespaces и github.dev.

    Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:").

  • В текстовом редакторе GNU Emacs выявлена уязвимость (CVE-2022-45939), позволяющая организовать выполнение команд при открытии файла с кодом, через подстановку спецсимволов в имени, обрабатываемом при помощи инструментария ctags.
  • В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2022-31097), позволяющая добиться выполнения JavaScript-кода при выводе уведомления через систему Grafana Alerting. Атакующий с правами редактора (Editor) может подготовить специально оформленную ссылку и получить доступ к интерфейсу Grafana с правами администратора в случае перехода администратора по этой ссылке. Уязвимость устранена в выпусках Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
  • Уязвимость (CVE-2022-46146) в библиотеке exporter-toolkit, используемой для создания модулей экспорта метрик для Prometheus. Проблема позволяет обойти basic-аутентификацию.
  • Уязвимость (CVE-2022-44635) в платформе для создания финансовых сервисов Apache Fineract, позволяющая неаутентифицированному пользователю добиться удалённого выполнения кода. Проблема вызвана отсутствием должного экранирования символов ".." в путях, обрабатываемых компонентом для загрузки файлов. Уязвимость устранена в выпусках Apache Fineract 1.7.1 и 1.8.1.
  • Уязвимость (CVE-2022-46366) в Java-фреймворке Apache Tapestry, позволяющая добиться выполнения своего кода при десериализации специально оформленных данных. Проблема проявляется только в старой ветке Apache Tapestry 3.x, которая уже не поддерживается.
  • Уязвимости в провайдерах Apache Airflow к Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) и Spark (CVE-2022-40954), приводящие к удалённому выполнению кода через загрузку произвольных файлов или подстановку команд в контексте выполнения заданий, не имея доступа на запись к DAG-файлам.


  1. OpenNews: Уязвимости в Grafana, позволяющие получить доступ к файлам в системе
  2. OpenNews: Релиз текстового редактора GNU Emacs 23.4 с устранением уязвимости
  3. OpenNews: В Emacs 25.3 устранена уязвимость
  4. OpenNews: Проект VSCodium развивает полностью открытый вариант редактора Visual Studio Code
  5. OpenNews: Доступен Uncoded, вариант редактора VSCode без телеметрии
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/58264-vscode
Ключевые слова: vscode, grafana, emacs, apache
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:44, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Apache Fineract

    Неудачное название. Звучит как гибрид Fine Reader с Tesseract OCR.

     
     
  • 2.2, Жироватт (ok), 11:55, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А может так и задумывалось? LibreWord, apachings, russt++...
     
  • 2.3, Аноним (3), 11:56, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Опенсорс не может в удачные названия
     
     
  • 3.5, Илья (??), 12:00, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чего только стоят названия программ ддя Ubuntu Touch)
    u[вставить че программа делает]
     
     
  • 4.8, Жироватт (ok), 12:04, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +9 +/
    У, UTOUCH май та-ла-ла,
    Ю, ай дин-дин-донг
     
  • 2.11, Аноним (11), 12:12, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нормальное название, fin - от слова финансы, eract - произносится как эрэкт, ну ты понял. Типа управляешь у себя такими финансами, что ты аж непроизвольно eract.
     
     
  • 3.21, Аноним (21), 14:58, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Fine rect
     
     
  • 4.32, grinder (??), 11:49, 06/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Fine rect

    Не, это больше похоже на название метода для отрисовки хороших таких прямоугольников.

     

  • 1.4, Аноним (4), 11:59, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В vim'e ничего не выявлено?
     
     
  • 2.6, Илья (??), 12:00, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +17 +/
    Выход вроде выявлен.
     
     
  • 3.7, Аноним (7), 12:03, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Туда многие и войти то не осилили
     
  • 3.10, Аноним (10), 12:11, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Значит, это уязвимость.
     
  • 2.9, Вирт (?), 12:09, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    По идее та же уязвимость с ctags что и у emacs
    в vim тоже должна работать.
     
     
  • 3.17, Аноним (17), 13:23, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Но не работает?
     
     
  • 4.30, Michael Shigorin (ok), 22:26, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну раз исправлена в emacs[I].[/I]
     

  • 1.12, fuggy (ok), 12:17, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Большинство таких ошибок из-за того что пользователи запускают файлы из непроверенного источника не глядя. Тем более когда приложение этому способствует и открывает
    >".ipynb" без дополнительных подтверждений в режиме "isTrusted"

    Понятно что сложно и долго проверять глазами большие файлы, но это не знаю что можно брать из любого источника и запускать. Вы же не запускаете исполняемые файлы скачанные из левого источника, не проверить хотя бы антивирусом или не сверив подпись и контрольную сумму. Не запускаете скрипты под рабочим пользователем. Это тоже самое что скачать скрипт с rm -rf, а потом жаловаться что терминал его запустил.

    >Проблема вызвана отсутствием должного экранирования символов ".." в путях

    Проблема есть в каждой второй программе. И почему-то единого решения способа обработки ".." не изобрели.

     
     
  • 2.13, Аноним (3), 12:31, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так называемые веб-программисты какают исходниками из непроверенного источника и запускат.
    Им даже не приходит в голову мысль качать исходники из проверенного источника
     
     
  • 3.14, Без аргументов (?), 12:51, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    например, вот: что хотят, то и суют в скрипт пост-установки (20млн скачиваний в неделю):
    https://github.com/medikoo/es5-ext/blob/main/_postinstall.js
    а еще интереснее глянуть в контрибьютеров
     
     
  • 4.23, Вы забыли заполнить поле Name (?), 16:53, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое забавное, что они думают, что это что-то изменит.
     
     
     
    Часть нити удалена модератором

  • 6.27, Вы забыли заполнить поле Name (?), 20:12, 05/12/2022 [ответить]  
  • +/
    > А ты думаешь нет?

    Нет. Левый выхлоп в консоль при установке модуля или замена тайтла (как сделали в deadbeef) вызывает только раздражение у нормальных людей.

     
  • 4.26, Аноним (3), 18:37, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя бы файлы с диска не удаляет и то хорошо.
     
     
  • 5.28, Вы забыли заполнить поле Name (?), 20:14, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Хотя бы файлы с диска не удаляет и то хорошо.

    А вот этого исключать нельзя. Поэтому всех этих людей стоит взять на карандаш.

     
  • 3.16, Аноним (3), 13:20, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    *Качают
     
  • 3.29, Вы забыли заполнить поле Name (?), 20:17, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так называемые веб-программисты какают исходниками из непроверенного источника и запускат.
    > Им даже не приходит в голову мысль качать исходники из проверенного источника

    Да ладно. Также делает самый безопасный язык в мире https://www.rust-lang.org/tools/install

    > curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

     
     
  • 4.34, Аноним (-), 09:19, 07/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нннууу, учитывая что ты один хрен без верификации с них качать удумал, чем тебе шелскрипты так уж хуже? :)
     
  • 2.15, Аноним (15), 12:52, 05/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Какое замечательное перекладывание с больной головы на здоровую. Программа падает при открытии файла? Ну так не открывайте этот файл, это не программа плохая, это файл плохой.
     

  • 1.20, Аноним (21), 14:58, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так это разве уязвимости.
    Это хипстер-фичи.
     
  • 1.22, Аноним (22), 15:46, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:")."

    во блин, а почему не спрашивает "вы доверяете файлам в этой папке" как при открытии других файлов? хм

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру