The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

15.12.2018 12:54  Уязвимости в системе загрузки модулей для языка Go

В реализации команды "go get", предоставляемой штатным интерфейсом командой строки для языка Go и используемой для загрузки пакетов и связанных с ними зависимоcтей, выявлено несколько уязвимостей, позволяющих выполнить код при обработке специально оформленных пакетов, подготовленных злоумышленниками. Проблемы устранены в корректирующих выпусках Go 1.11.3 и 1.10.6.

Первая уязвимость (CVE-2018-16873) проявляется при выполнении команды "go get -u" и прямом импорте модулей в режиме GOPATH. Атака сводится к созданию в модуле импортируемых путей, заканчивающихся на "/.git", которые воспринимаются при вызове "go get -u" как корень репозитория с последующим выполнением в нём команд git. Выполнение кода организуется через размещение вредоносных команд в прикреплённом к репозиторию файле конфигурации git;

Вторая уязвимость (CVE-2018-16874) позволяет при выполнении команды "go get" выйти за пределы определённого для модуля корневого пути, через манипуляцию с фигурными скобками в импортируемых путях. Проблема проявляется только в режиме GOPATH и не затрагивает появившийся в Go 1.11 экспериментальный режим модулей. При помощи данной уязвимости атакующий может перезаписать произвольные файл в ФС, насколько это позволяют текущие полномочия.

  1. Главная ссылка к новости (https://seclists.org/oss-sec/2...)
  2. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  3. OpenNews: Уязвимость в Apache CouchDB, позволяющая совершить атаку на реестр пакетов NPM
  4. OpenNews: В RubyGems устранена уязвимость, позволявшая подменять файлы в репозитории
  5. OpenNews: Уязвимость в пакетном менеджере APT, проявляющаяся в конфигурациях с зеркалами
  6. OpenNews: Уязвимость в пакетном менеджере APK, позволяющая удалённо выполнить код в Alpine Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: golang, module
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.4, Аноним (4), 13:39, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    1.11.3 ломает go get. Но уже есть 1.11.4, в котором обещали исправить go get.
     
  • 1.5, Аноним (5), 13:40, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +14 +/
    Вот что происходит, когда смешивают систему сборки и пакетный менеджер.
     
     
  • 2.8, oleg (??), 14:15, 15/12/2018 [^] [ответить]    [к модератору]
  • +1 +/
    maven
     
     
  • 3.24, Crazy Alex (ok), 16:24, 15/12/2018 [^] [ответить]     [к модератору]
  • –1 +/
    Им собирают, как правило, то, что ни с какими нормальными пакетными менеджерами ... весь текст скрыт [показать]
     
     
  • 4.30, Vkni (ok), 18:58, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот это, кстати, конкретнейшая проблема Надо Михаила спросить про текущее состо... весь текст скрыт [показать]
     
     
  • 5.32, Vkni (ok), 19:03, 15/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Посмотрел список рассылки - интересная идея от manowar altlinux org - плагины к ... весь текст скрыт [показать]
     
  • 5.41, Аноним (-), 01:02, 16/12/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Единственная нормальная интеграция - использовать системный пакетный менеджер П... весь текст скрыт [показать]
     
     
  • 6.51, Vkni (ok), 00:02, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Там сложный сисадминско-административный вопрос: как наладить взаимодействие с языковыми репозитариями так, чтобы тратить как можно меньше времени и делать это минимально чeрeзжoпнo.
     
  • 3.26, Аноним (26), 16:51, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    С каких пор он стал "пакетным менеджером"?
     
  • 2.39, ананим.orig (?), 23:53, 15/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Вот что происходит, когда смешивают систему сборки и пакетный менеджер

    Не-не!
    Это происходит когда думают что ЯП заменит безопасность.

     
     
  • 3.45, Аноним (45), 11:03, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Кроме Вас так никто не думает Да и Вы так не думаете На условно безопасном яз... весь текст скрыт [показать]
     
     
  • 4.48, ананим.orig (?), 16:03, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вот на это овно, братец, половину и ловят при раскрутке платформы Та было с го,... весь текст скрыт [показать]
     
     
  • 5.49, Аноним (45), 16:34, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    До Вас не дошло, братец В отличие от Вас, все сразу понимали и знали, где граб... весь текст скрыт [показать]
     
     
  • 6.50, ананим.orig (?), 18:02, 16/12/2018 [^] [ответить]     [к модератору]  
  • +/
    хорэ врать Тут народ только этим и занимается В любой новости об уязвимостях в... весь текст скрыт [показать]
     
  • 1.6, Аноним (6), 14:08, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Объясните кратко, какие профиты даст переход с 1.9 на 1.11.4?
     
     
  • 2.10, Аноним (10), 14:40, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >появившийся в Go 1.11 экспериментальный режим модулей
     
  • 2.11, asdasd (?), 15:00, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Новые SIMD инструкции и как обычно GC был сильно оптимизирован.
     
  • 2.31, Аноним (31), 19:00, 15/12/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    исправление уязвимостей и багов с версии 1.9 до 1.11?
     
  • 1.7, Моё правило (?), 14:14, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А я то думаю, почему половина софта на GO в контейнерах собирается... Знали, видимо.
     
     
  • 2.9, Урри (?), 14:39, 15/12/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Нет. Просто неосиляторы.
     
     
  • 3.15, Моё правило (?), 15:19, 15/12/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну ниче, с go mod теперь не нужно осваивать bash и способы установки GO_PATH, теперь можно и вылазить с контейнеров и билдить всесь go-внософт на хост системе.
     
     
  • 4.16, Аноним (16), 15:33, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    s/с контейнеров/из контейнеров/
    граммарнаци негодуэ
     
  • 4.54, уася (?), 15:38, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    GO_PATH это шо таке?
     
  • 3.33, Идея (?), 19:59, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Сам-то видимо осилил по-сложнее "Ehlo world" написать
     
     
  • 4.37, Моё правило (?), 23:29, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Проверил, ваш сниппет не работает :(
     
  • 2.13, Аноним (13), 15:07, 15/12/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    А есть ещё отсталые которые собирают не в контейнерах? Печаль...
     
  • 2.17, пох (?), 15:41, 15/12/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    s в слове docker stands for S security, ага И в rkt lxc тоже, если что Собира... весь текст скрыт [показать]
     
     
  • 3.21, OldFart (?), 16:10, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >и чтоб еще и запускалось не только там же где этот home есть.

    Скомпилированному файлу накакать на home...

     
     
  • 4.36, Аноним (36), 21:46, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Т-с-с-с-
     
  • 1.12, Аноним (12), 15:06, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    А говорили что такое только на C или PHP может быть, а Go — безопасный, хм.
     
     
  • 2.14, Аноним (13), 15:09, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Безопасный ЯП это что-то интересное...  это как безопасный секс?
     
  • 2.18, Аноним (18), 15:50, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Тоже самое про Rust говорят. С нетерпением жду когда у фанатиков подгорит от найденых уязвимостей. Oh, wait, они уже есть! Любой низкоуровневый код без дериктивы unsafe не работает.
     
     
  • 3.20, Аноним (20), 16:00, 15/12/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Не могу говорить за всех фанатиков, но я, как один из них, абсолютно нормально о... весь текст скрыт [показать]
     
     
  • 4.22, OldFart (?), 16:12, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Идеальный код exist :)

    > echo 'Hello world';

     
     
  • 5.25, аноним3 (?), 16:41, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    согласен идеальный вариант. не подкопаешься.или на питоне: print('Hello World')
    на С:
    main()
    {
      printf("Hello World\n");

    }
    пишем все. кто на чем. хочу на дельфях глянуть)))

     
     
  • 6.38, OpenEcho (?), 23:39, 15/12/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы правда хотите чтобы все отсюда:

    https://esolangs.org/wiki/Hello_world_program_in_esoteric_languages

    попало сюда ?

     
     
  • 7.43, КГБ СССР (?), 01:15, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    О мой мозг! :)
     
     
  • 8.44, КГБ СССР (?), 01:15, 16/12/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Это восхитительно!
     
     
    Monkeys
     
    [CODE]
    1 RIGHT
    1 RIGHT
    1 RIGHT
    1 RIGHT
    1 RIGHT
    1 RIGHT
    1 DOWN
    1 DOWN
    1 LEFT
    1 LEFT
    2 LEFT
    2 UP
    2 RIGHT
    2 LEFT
    2 DOWN
    2 UP
    2 RIGHT
    2 LEFT
    2 DOWN
    2 RIGHT
    2 BOND
    1 YELL
    1 LEFT
    1 LEFT
    1 UP
    1 UP
    1 LEFT
    1 LEFT
    1 UP
    1 UP
    1 LEFT
    1 DOWN
    1 DOWN
    1 LEFT
    1 UP
    1 UP
    1 LEFT
    1 DOWN
    1 DOWN
    1 RIGHT
    1 DOWN
    1 LEFT
    1 TEACH
    1 DOWN
    1 RIGHT
    1 UP
    1 UP
    1 UP
    1 RIGHT
    1 DOWN
    1 DOWN
    1 DOWN
    1 DOWN
    1 UP
    1 RIGHT
    1 RIGHT
    1 DOWN
    1 DOWN
    1 TEACH
    4 YELL
    1 RIGHT
    1 RIGHT
    1 DOWN
    1 DOWN
    1 DOWN
    1 LEFT
    1 YELL
    1 YELL
    1 LEFT
    1 LEFT
    1 LEFT
    2 LEFT
    2 DOWN
    2 RIGHT
    2 UP
    2 UP
    2 LEFT
    2 LEFT
    2 LEFT
    2 DOWN
    2 DOWN
    2 DOWN
    2 RIGHT
    2 RIGHT
    2 RIGHT
    2 RIGHT
    2 UP
    2 UP
    2 UP
    2 LEFT
    2 LEFT
    2 DOWN
    2 RIGHT
    2 YELL
    3 YELL
    1 YELL
    1 RIGHT
    1 RIGHT
    1 RIGHT
    1 YELL
    4 DOWN
    4 TEACH
    4 DOWN
    4 DOWN
    4 DOWN
    4 DOWN
    4 DOWN
    2 RIGHT
    6 LEFT
    6 DOWN
    6 RIGHT
    6 UP
    6 UP
    6 LEFT
    6 DOWN
    6 RIGHT
    6 YELL
    4 YELL
    2 YELL
    [/CODE]
     
  • 6.42, Аноним84701 (ok), 01:10, 16/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > согласен идеальный вариант. не подкопаешься.

    [code]
    % echo "Hello" >> /dev/full
    echo: write error: no space left on device
    [/code]
    >или на питоне: print('Hello World')

    [code]
    % python -c "print 'helllo'" >>/dev/full
    close failed in file object destructor:
    sys.excepthook is missing
    lost sys.stderr
    [/code]
    ;-)

     
     
  • 7.46, OpenEcho (?), 11:49, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    >> согласен идеальный вариант. не подкопаешься.
    > [code]
    > % echo "Hello" >> /dev/full
    > echo: write error: no space left on device
    > [/code]
    >>или на питоне: print('Hello World')

    Вот правда, как в жизни, была нормальная программа, пришли, доработали и пипец, а ведь в начале все работало...


     
     
  • 8.47, трололо (?), 11:58, 16/12/2018 [^] [ответить]    [к модератору]  
  • +/
    и не говори . кто их просил в /dev отправлять)))
     
  • 4.34, Аноним (34), 20:14, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Это, конечно, не офигеть как хорошо, но и смертельно

    Долго завис на этой фразе

     
  • 2.52, Аноним (52), 09:30, 17/12/2018 [^] [ответить]     [к модератору]  
  • +/
    Вы неверно услышали, что говорили Или не уловили суть данных двух уязвимостей ... весь текст скрыт [показать]
     
  • 1.23, Crazy Alex (ok), 16:15, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Ну нормально, и этим пришла очередь по граблям походить... Закономерный этап.
     
  • 1.35, Аноним (35), 20:15, 15/12/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    а может sysvinit на rust переписать?
     
     
  • 2.40, аноним3 (?), 23:57, 15/12/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    rustinit? ох уж эти любители суперегероев от корпораций))))
     
     
  • 3.53, щавель (?), 13:17, 17/12/2018 [^] [ответить]    [к модератору]  
  • +/
    sysrust, тогда уж.
     
     
  • 4.55, Аноним2 (?), 05:39, 19/12/2018 [^] [ответить]    [к модератору]  
  • +/
    sysirust, тогда уж.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor