Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo

В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках 3.3.15, 4.1.1, 5.1.9 и 5.2.1.

Дополнительно можно отметить уязвимость в Ruby-модуле tzinfo, позволяющую загрузить содержимое любого файла, насколько позволяют права доступа атакуемого приложения. Уязвимость связана с отсутствием должной проверки на использование спецсимволов в имени часового пояса, указываемого в методе TZInfo::Timezone.get. Проблема затрагивает приложения, передающие в TZInfo::Timezone.get непроверенные внешние данные. Например, для чтения файла /tmp/payload можно указать значение, подобное «foo\n/../../../tmp/payload».

Источник: opennet.ru

Добавить комментарий