forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Guile, затрагивающая программы, привязанные к l..."
Отправлено opennews, 14-Окт-16 10:43

Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили (https://lists.gnu.org/archive/html/guile-user/2016-10/msg000...) заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы.

Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, всё больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" и браузер обратиться к локальному сервису, ожидающему соединений на порту 6379.

Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика сервису можно отправить любую команду. Для скрытия обращения к localhost могут быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов с localhost, подобным способом можно организовать выполнение произвольного кода на языке Scheme на машине разработчика. Для локальных сервисов рекомендуется использовать unix-сокеты или именованные каналы, и не полагаться на привязку к localhost. Аналогичные способы атаки ранее были выявлены (http://bouk.co/blog/hacking-developers/) для БД Redis, Elasticsearch и Memcached.
URL: https://lists.gnu.org/archive/html/guile-user/2016-10/msg000...
Новость: http://www.opennet.ru/opennews/art.shtml?num=45321

Исходное сообщение
"Уязвимость в Guile, затрагивающая программы, привязанные к l..." Отправлено opennews, 14-Окт-16 10:43
Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили (https://lists.gnu.org/archive/html/guile-user/2016-10/msg000...) заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы. Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, всё больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" и браузер обратиться к локальному сервису, ожидающему соединений на порту 6379. Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика сервису можно отправить любую команду. Для скрытия обращения к localhost могут быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов с localhost, подобным способом можно организовать выполнение произвольного кода на языке Scheme на машине разработчика. Для локальных сервисов рекомендуется использовать unix-сокеты или именованные каналы, и не полагаться на привязку к localhost. Аналогичные способы атаки ранее были выявлены (http://bouk.co/blog/hacking-developers/) для БД Redis, Elasticsearch и Memcached. URL: https://lists.gnu.org/archive/html/guile-user/2016-10/msg000... Новость: http://www.opennet.ru/opennews/art.shtml?num=45321

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Разработчики проекта  GNU Guile, в рамках которого развивается свободная реализация функционального 
> языка программирования Scheme, устранили (https://lists.gnu.org/archive/html/guile-user/2016-10/msg00007.html) 
> заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые 
> соединения, привязываясь  к localhost. Уязвимость позволяет организовать выполнение кода 
> на машине разработчика при открытии в браузере на той же машине 
> специально оформленной web-страницы.

> Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень 
> безопасности и не позволяет обратиться к данному сервису из внешне сети. 
> Тем временем, всё больше программ используются Web API и HTTP в 
> своих сервисах. Если подобные сервис запущен на машине разработчика, то у 
> атакующего появляется возможность отправки запросов к данным локальным сервисам через 
> манипуляции с браузером, запускаемым в той же системе. Например, при открытии 
> подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" 
> и браузер обратиться к локальному сервису, ожидающему соединений на порту 6379.

> Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика 
> сервису можно отправить любую команду. Для скрытия обращения к localhost могут 
> быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В 
> случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов 
> с localhost, подобным способом можно организовать выполнение произвольного кода на языке 
> Scheme на машине разработчика. Для локальных сервисов  рекомендуется использовать unix-сокеты 
> или именованные каналы, и не полагаться на привязку к localhost. Аналогичные 
> способы атаки ранее были выявлены (http://bouk.co/blog/hacking-developers/) для БД Redis, 
> Elasticsearch и  Memcached.

> URL: https://lists.gnu.org/archive/html/guile-user/2016-10/msg00007.html 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=45321

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру