🥇Уязвимост в мрежовите библиотеки на езиците Rust and Go, която ви позволява да заобиколите проверката на IP адрес

В стандартните библиотеки на езиците Rust and Go са идентифицирани уязвимости, свързани с неправилна обработка на IP адреси с осмични цифри във функциите за анализ на адреси. Уязвимостите позволяват да се заобиколят проверките за валидни адреси в приложенията, например, за да се организира достъп до адреси на loopback интерфейс (127.xxx) или интранет подмрежи при извършване на SSRF (Server-side request forgery) атаки. Уязвимостите продължават цикъла от проблеми, идентифицирани по-рано в библиотеките node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE- 2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424).

Според спецификацията стойностите на низа на IP адрес, започващи с нула, трябва да се интерпретират като осмични числа, но много библиотеки не вземат това предвид и просто изхвърлят нулата, третирайки стойността като десетично число. Например числото 0177 в осмична система е равно на 127 в десетична система. Нападателят може да поиска ресурс, като посочи стойността "0177.0.0.1", която в десетична система съответства на "127.0.0.1". Ако се използва проблемната библиотека, приложението няма да открие, че адресът 0177.0.0.1 е в подмрежата 127.0.0.1/8, но всъщност при изпращане на заявка може да получи достъп до адреса „0177.0.0.1“, който мрежовите функции ще обработват като 127.0.0.1. По подобен начин можете да измамите проверката на достъпа до интранет адреси, като посочите стойности като „012.0.0.1“ (еквивалентно на „10.0.0.1“).

В Rust стандартната библиотека „std::net“ беше засегната от проблем (CVE-2021-29922). Анализаторът на IP адреси на тази библиотека отхвърли нула преди стойностите в адреса, но само ако бяха посочени не повече от три цифри, например „0177.0.0.1“ ще се възприеме като невалидна стойност и неправилен резултат ще бъде върнат в отговор на 010.8.8.8 и 127.0.026.1. Приложенията, които използват std::net::IpAddr, когато анализират указани от потребителя адреси, са потенциално податливи на SSRF (фалшифициране на заявка от страна на сървъра), RFI (включване на отдалечен файл) и LFI (включване на локален файл) атаки. Уязвимостта беше коригирана в клона Rust 1.53.0.

В Go стандартната библиотека „net“ е засегната (CVE-2021-29923). Вградената функция net.ParseCIDR пропуска водещите нули преди осмичните числа, вместо да ги обработва. Например, атакуващ може да предаде стойността 00000177.0.0.1, която, когато бъде проверена във функцията net.ParseCIDR(00000177.0.0.1/24), ще бъде анализирана като 177.0.0.1/24, а не 127.0.0.1/24. Проблемът се проявява и в платформата Kubernetes. Уязвимостта е коригирана в Go версия 1.16.3 и бета 1.17.

Източник: opennet.ru

Уязвимост в мрежовите библиотеки на езиците Rust and Go, която ви позволява да заобиколите проверката на IP адрес

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар