Achọpụtala adịghị ike metụtara nhazi adreesị IP na-ezighi ezi nwere ọnụọgụ octal na ọrụ nzacha adrees n'ụlọ ọba akwụkwọ ọkọlọtọ nke asụsụ Rust na Go. Ọdịmma ahụ na-eme ka o kwe omume ịgafe nyocha maka adreesị dị mma na ngwa, dịka ọmụmaatụ, ịhazi ohere ịnweta adreesị loopback interface (127.xxx) ma ọ bụ subnets intranet mgbe ị na-ebu agha ụgha SSRF (Server-side request). Ọdịmma ahụ na-aga n'ihu na nsogbu nke achọpụtara na ụlọ akwụkwọ node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), nzuzo-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE- 2021-29921), Data :: Nkwado :: IP (Perl, CVE-2021-29662) na Net :: Netmask (Perl, CVE-2021-29424).
Dị ka nkọwapụta, ụkpụrụ eriri adreesị IP malite na efu kwesịrị ịkọwa dị ka ọnụọgụ octal, mana ọtụtụ ụlọ akwụkwọ anaghị eburu nke a n'uche ma tụfuo efu, na-emeso uru dị ka ọnụọgụ iri. Dịka ọmụmaatụ, nọmba 0177 na octal hà nhata 127 n'ọnụọgụgụ. Onye na-awakpo nwere ike ịrịọ maka akụrụngwa site na ịkọwa uru "0177.0.0.1", nke n'usoro nrịbama dabara na "127.0.0.1". Ọ bụrụ na a na-eji ọbá akwụkwọ nwere nsogbu, ngwa ahụ agaghị achọpụta na adreesị 0177.0.0.1 dị na subnet 127.0.0.1/8, mana n'eziokwu, mgbe ị na-eziga arịrịọ, ọ nwere ike ịnweta adreesị "0177.0.0.1", nke Ọrụ netwọk ga-ahazi dị ka 127.0.0.1. N'otu aka ahụ, ị nwere ike ịghọ aghụghọ ule nke ịnweta adreesị intranet site n'ịkọpụta ụkpụrụ dịka "012.0.0.1" (ya na "10.0.0.1").
Na Rust, ọbá akwụkwọ ọkọlọtọ "std :: net" nwere nsogbu (CVE-2021-29922). Ihe ntụgharị adreesị IP nke ọba akwụkwọ a tụfuru efu tupu ụkpụrụ dị na adreesị ahụ, mana ọ bụrụ na akọwapụtaghị ihe karịrị ọnụọgụ atọ, dịka ọmụmaatụ, “0177.0.0.1” ka a ga-ahụta dị ka uru na-ezighi ezi, yana nsonaazụ na-ezighi ezi. ga-eweghachi na nzaghachi na 010.8.8.8 na 127.0.026.1. Ngwa ndị na-eji std :: net :: IPAddr mgbe ị na-enyocha adreesị ndị ọrụ akọwapụtara nwere ike ịdaba na mwakpo SSRF (Arịrịọ-akụkụ nkesa), RFI (Ntinye Faịlụ Ime Ime) na LFI (Ntinye Njikwa Mpaghara). Edobere adịghị ike ahụ na ngalaba Rust 1.53.0.
Na Go, a na-emetụta ọbá akwụkwọ ọkọlọtọ "net" (CVE-2021-29923). Ọrụ net.ParseCIDR arụnyere n'ime na-amali na-eduga efu tupu ọnụọgụ octal kama ịhazi ha. Dịka ọmụmaatụ, onye na-awakpo nwere ike ịgafe uru 00000177.0.0.1, nke, mgbe a na-enyocha ya na net.ParseCIDR (00000177.0.0.1/24), a ga-atụgharị dị ka 177.0.0.1/24, ọ bụghị 127.0.0.1/24. Nsogbu a na-egosipụtakwa onwe ya na ikpo okwu Kubernetes. Edobere adịghị ike ahụ na ntọhapụ Go 1.16.3 na beta 1.17.
isi: opennet.ru