āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĒāĻžāĻ°ā§āĻ¸āĻŋāĻ āĻĢāĻžāĻāĻļāĻ¨ā§ āĻ āĻā§āĻāĻžāĻ˛ āĻĄāĻŋāĻāĻŋāĻ āĻ¸āĻš IP āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋāĻ° āĻā§āĻ˛ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ°āĻŖā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻ°āĻžāĻ¸ā§āĻ āĻāĻŦāĻ āĻā§ āĻāĻžāĻˇāĻžāĻ° āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋāĻ¤ā§ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ¤ā§ āĻŦā§āĻ§ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻā§āĻāĻā§āĻ˛āĻŋāĻā§ āĻŦāĻžāĻāĻĒāĻžāĻ¸ āĻāĻ°āĻž āĻ¸āĻŽā§āĻāĻŦ āĻāĻ°ā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻ˛ā§āĻĒāĻŦā§āĻ¯āĻžāĻ āĻāĻ¨ā§āĻāĻžāĻ°āĻĢā§āĻ¸ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋ (127.xxx) āĻŦāĻž āĻāĻ¨ā§āĻā§āĻ°āĻžāĻ¨ā§āĻ āĻ¸āĻžāĻŦāĻ¨ā§āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻ¸āĻāĻāĻ āĻŋāĻ¤ āĻāĻ°āĻž āĻ¯āĻāĻ¨ SSRF (āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°-āĻ¸āĻžāĻāĻĄ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻžāĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¤āĻŋ) āĻāĻā§āĻ°āĻŽāĻŖ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°ā§ā§ˇ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻā§āĻ˛āĻŋ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻ¨ā§āĻĄ-āĻ¨ā§āĻāĻŽāĻžāĻ¸ā§āĻ (āĻāĻžāĻāĻžāĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ, CVE-2021-28918, CVE-2021-29418), āĻĒā§āĻ°āĻžāĻāĻā§āĻ-āĻāĻāĻĒāĻŋ (āĻāĻžāĻāĻžāĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻ, CVE-2020-28360), ipaddress (CVE-2021-29921), āĻāĻāĻĒā§āĻ¯āĻžāĻĄāĻĄā§āĻ°ā§āĻ¸ (JavaScript, CVE-2021-29662) āĻ¤ā§ āĻĒā§āĻ°ā§āĻŦā§ āĻāĻŋāĻšā§āĻ¨āĻŋāĻ¤ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻ° āĻāĻā§āĻ° āĻ āĻŦā§āĻ¯āĻžāĻšāĻ¤ āĻ°āĻžāĻā§ 2021-29424 ), āĻĄā§āĻāĻž::Validate::IP (Perl, CVE-XNUMX-XNUMX) āĻāĻŦāĻ Net::Netmask (Perl, CVE-XNUMX-XNUMX)āĨ¤
āĻ¸ā§āĻĒā§āĻ¸āĻŋāĻĢāĻŋāĻā§āĻļāĻ¨ āĻ āĻ¨ā§āĻ¸āĻžāĻ°ā§, āĻļā§āĻ¨ā§āĻ¯ āĻĻāĻŋāĻ¯āĻŧā§ āĻļā§āĻ°ā§ āĻšāĻāĻ¯āĻŧāĻž IP āĻ āĻŋāĻāĻžāĻ¨āĻž āĻ¸ā§āĻā§āĻ°āĻŋāĻ āĻŽāĻžāĻ¨āĻā§āĻ˛āĻŋāĻā§ āĻ āĻā§āĻāĻžāĻ˛ āĻ¸āĻāĻā§āĻ¯āĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦā§āĻ¯āĻžāĻā§āĻ¯āĻž āĻāĻ°āĻž āĻāĻāĻŋāĻ¤, āĻ¤āĻŦā§ āĻ āĻ¨ā§āĻ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ āĻāĻāĻŋāĻā§ āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ¯āĻŧ āĻ¨ā§āĻ¯āĻŧ āĻ¨āĻž āĻāĻŦāĻ āĻā§āĻŦāĻ˛āĻŽāĻžāĻ¤ā§āĻ° āĻļā§āĻ¨ā§āĻ¯āĻāĻŋāĻā§ āĻŦāĻžāĻ¤āĻŋāĻ˛ āĻāĻ°ā§, āĻŽāĻžāĻ¨āĻāĻŋāĻā§ āĻĻāĻļāĻŽāĻŋāĻ āĻ¸āĻāĻā§āĻ¯āĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°ā§āĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻ āĻā§āĻāĻžāĻ˛ā§ 0177 āĻ¸āĻāĻā§āĻ¯āĻžāĻāĻŋ āĻĻāĻļāĻŽāĻŋāĻā§ 127 āĻāĻ° āĻ¸āĻŽāĻžāĻ¨āĨ¤ āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ "0177.0.0.1" āĻŽāĻžāĻ¨ āĻāĻ˛ā§āĻ˛ā§āĻ āĻāĻ°ā§ āĻāĻāĻāĻŋ āĻ¸āĻŽā§āĻĒāĻĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¯āĻž āĻĻāĻļāĻŽāĻŋāĻ āĻ¸ā§āĻŦāĻ°āĻ˛āĻŋāĻĒāĻŋāĻ¤ā§ "127.0.0.1" āĻāĻ° āĻ¸āĻžāĻĨā§ āĻŽāĻŋāĻ˛ā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻ¯āĻĻāĻŋ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻ¯ā§āĻā§āĻ¤ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻžāĻšāĻ˛ā§ āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨āĻāĻŋ āĻ¸āĻ¨āĻžāĻā§āĻ¤ āĻāĻ°āĻŦā§ āĻ¨āĻž āĻ¯ā§ āĻ āĻŋāĻāĻžāĻ¨āĻž 0177.0.0.1 āĻ¸āĻžāĻŦāĻ¨ā§āĻ 127.0.0.1/8 āĻ āĻ°āĻ¯āĻŧā§āĻā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻ¸āĻ˛ā§, āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻ¨ā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ, āĻāĻāĻŋ "0177.0.0.1" āĻ āĻŋāĻāĻžāĻ¨āĻžāĻāĻŋ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¯āĻž āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻĢāĻžāĻāĻļāĻ¨ 127.0.0.1 āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°āĻŦā§āĨ¤ āĻāĻāĻāĻāĻžāĻŦā§, āĻāĻĒāĻ¨āĻŋ "012.0.0.1" ("10.0.0.1" āĻāĻ° āĻ¸āĻŽāĻ¤ā§āĻ˛ā§āĻ¯) āĻāĻ° āĻŽāĻ¤ā§ āĻŽāĻžāĻ¨āĻā§āĻ˛āĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°ā§ āĻāĻ¨ā§āĻā§āĻ°āĻžāĻ¨ā§āĻ āĻ āĻŋāĻāĻžāĻ¨āĻžāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ā§āĻ° āĻā§āĻ āĻĒā§āĻ°āĻ¤āĻžāĻ°āĻŖāĻž āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨āĨ¤
āĻ°āĻžāĻ¸ā§āĻā§, āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ "std::net" āĻāĻāĻāĻŋ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻĻā§āĻŦāĻžāĻ°āĻž āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ (CVE-2021-29922)āĨ¤ āĻāĻ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋāĻ° āĻāĻāĻĒāĻŋ āĻ ā§āĻ¯āĻžāĻĄā§āĻ°ā§āĻ¸ āĻĒāĻžāĻ°ā§āĻ¸āĻžāĻ° āĻ ā§āĻ¯āĻžāĻĄā§āĻ°ā§āĻ¸ā§āĻ° āĻŽāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻāĻā§ āĻāĻāĻāĻŋ āĻļā§āĻ¨ā§āĻ¯ āĻŦāĻžāĻ¤āĻŋāĻ˛ āĻāĻ°ā§āĻā§, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻ¯āĻĻāĻŋ āĻ¤āĻŋāĻ¨āĻāĻŋ āĻ¸āĻāĻā§āĻ¯āĻžāĻ° āĻŦā§āĻļāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻ°āĻž āĻ¨āĻž āĻĨāĻžāĻā§, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, "0177.0.0.1" āĻāĻāĻāĻŋ āĻ āĻŦā§āĻ§ āĻŽāĻžāĻ¨ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦāĻŋāĻŦā§āĻāĻŋāĻ¤ āĻšāĻŦā§ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻā§āĻ˛ āĻĢāĻ˛āĻžāĻĢāĻ˛ 010.8.8.8 āĻāĻŦāĻ 127.0.026.1 āĻāĻ° āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻĢā§āĻ°āĻ¤ āĻĻā§āĻāĻ¯āĻŧāĻž āĻšāĻŦā§āĨ¤ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§-āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻĒāĻžāĻ°ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻ¯ā§ āĻ ā§āĻ¯āĻžāĻĒā§āĻ˛āĻŋāĻā§āĻļāĻ¨āĻā§āĻ˛āĻŋ std::net::IpAddr āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸ā§āĻā§āĻ˛āĻŋ SSRF (āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°-āĻ¸āĻžāĻāĻĄ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻžāĻ˛āĻŋāĻ¯āĻŧāĻžāĻ¤āĻŋ), RFI (āĻ°āĻŋāĻŽā§āĻ āĻĢāĻžāĻāĻ˛ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤āĻŋ) āĻāĻŦāĻ LFI (āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻĢāĻžāĻāĻ˛ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤āĻŋ) āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻ¸āĻāĻŦā§āĻĻāĻ¨āĻļā§āĻ˛āĨ¤ āĻŽāĻ°āĻŋāĻāĻž 1.53.0 āĻļāĻžāĻāĻžāĻ¯āĻŧ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¸āĻāĻļā§āĻ§āĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤
Go-āĻ¤ā§, āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻĄāĻžāĻ°ā§āĻĄ āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ "āĻ¨ā§āĻ" āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻšāĻ¯āĻŧā§āĻā§ (CVE-2021-29923)āĨ¤ net.ParseCIDR āĻŦāĻŋāĻ˛ā§āĻ-āĻāĻ¨ āĻĢāĻžāĻāĻļāĻ¨ āĻ āĻā§āĻāĻžāĻ˛ āĻ¸āĻāĻā§āĻ¯āĻžāĻ° āĻāĻā§ āĻļā§āĻ¨ā§āĻ¯āĻā§ āĻĒā§āĻ°āĻ¸ā§āĻ¸ āĻāĻ°āĻžāĻ° āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤ā§ āĻāĻĄāĻŧāĻŋāĻ¯āĻŧā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§ 00000177.0.0.1 āĻŽāĻžāĻ¨āĻāĻŋ āĻĒāĻžāĻ¸ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§, āĻ¯āĻž, āĻ¯āĻāĻ¨ āĻ¨ā§āĻ āĻā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻĒāĻžāĻ°ā§āĻ¸āĻ¸āĻŋāĻāĻāĻĄāĻŋāĻāĻ°(00000177.0.0.1/24) āĻĢāĻžāĻāĻļāĻ¨āĻāĻŋ 177.0.0.1/24 āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻĒāĻžāĻ°ā§āĻ¸ āĻāĻ°āĻž āĻšāĻŦā§, 127.0.0.1/24 āĻ¨āĻ¯āĻŧāĨ¤ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻāĻŋ Kubernetes āĻĒā§āĻ˛ā§āĻ¯āĻžāĻāĻĢāĻ°ā§āĻŽā§āĻ āĻ¨āĻŋāĻā§āĻā§ āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°ā§āĨ¤ Go āĻ°āĻŋāĻ˛āĻŋāĻ 1.16.3 āĻāĻŦāĻ āĻŦāĻŋāĻāĻž 1.17-āĻ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ āĻŋāĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤
āĻāĻ¤ā§āĻ¸: opennet.ru