ProHoster > Блог > ozi ịntanetị > Ihe ọghọm dị na ọba akwụkwọ netwọkụ nke asụsụ Rust na Go na-enye gị ohere ịgafe nkwenye adreesị IP.

Ihe ọghọm dị na ọba akwụkwọ netwọkụ nke asụsụ Rust na Go na-enye gị ohere ịgafe nkwenye adreesị IP.

Achọpụtala adịghị ike metụtara nhazi adreesị IP na-ezighi ezi nwere ọnụọgụ octal na ọrụ nzacha adrees n'ụlọ ọba akwụkwọ ọkọlọtọ nke asụsụ Rust na Go. Ọdịmma ahụ na-eme ka o kwe omume ịgafe nyocha maka adreesị dị mma na ngwa, dịka ọmụmaatụ, ịhazi ohere ịnweta adreesị loopback interface (127.xxx) ma ọ bụ subnets intranet mgbe ị na-ebu agha ụgha SSRF (Server-side request). Ọdịmma ahụ na-aga n'ihu na nsogbu nke achọpụtara na ụlọ akwụkwọ node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), nzuzo-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE- 2021-29921), Data :: Nkwado :: IP (Perl, CVE-2021-29662) na Net :: Netmask (Perl, CVE-2021-29424).

Dị ka nkọwapụta, ụkpụrụ eriri adreesị IP malite na efu kwesịrị ịkọwa dị ka ọnụọgụ octal, mana ọtụtụ ụlọ akwụkwọ anaghị eburu nke a n'uche ma tụfuo efu, na-emeso uru dị ka ọnụọgụ iri. Dịka ọmụmaatụ, nọmba 0177 na octal hà nhata 127 n'ọnụọgụgụ. Onye na-awakpo nwere ike ịrịọ maka akụrụngwa site na ịkọwa uru "0177.0.0.1", nke n'usoro nrịbama dabara na "127.0.0.1". Ọ bụrụ na a na-eji ọbá akwụkwọ nwere nsogbu, ngwa ahụ agaghị achọpụta na adreesị 0177.0.0.1 dị na subnet 127.0.0.1/8, mana n'eziokwu, mgbe ị na-eziga arịrịọ, ọ nwere ike ịnweta adreesị "0177.0.0.1", nke Ọrụ netwọk ga-ahazi dị ka 127.0.0.1. N'otu aka ahụ, ị ​​nwere ike ịghọ aghụghọ ule nke ịnweta adreesị intranet site n'ịkọpụta ụkpụrụ dịka "012.0.0.1" (ya na "10.0.0.1").

Na Rust, ọbá akwụkwọ ọkọlọtọ "std :: net" nwere nsogbu (CVE-2021-29922). Ihe ntụgharị adreesị IP nke ọba akwụkwọ a tụfuru efu tupu ụkpụrụ dị na adreesị ahụ, mana ọ bụrụ na akọwapụtaghị ihe karịrị ọnụọgụ atọ, dịka ọmụmaatụ, “0177.0.0.1” ka a ga-ahụta dị ka uru na-ezighi ezi, yana nsonaazụ na-ezighi ezi. ga-eweghachi na nzaghachi na 010.8.8.8 na 127.0.026.1. Ngwa ndị na-eji std :: net :: IPAddr mgbe ị na-enyocha adreesị ndị ọrụ akọwapụtara nwere ike ịdaba na mwakpo SSRF (Arịrịọ-akụkụ nkesa), RFI (Ntinye Faịlụ Ime Ime) na LFI (Ntinye Njikwa Mpaghara). Edobere adịghị ike ahụ na ngalaba Rust 1.53.0.

Ihe ọghọm dị na ọba akwụkwọ netwọkụ nke asụsụ Rust na Go na-enye gị ohere ịgafe nkwenye adreesị IP.

Na Go, a na-emetụta ọbá akwụkwọ ọkọlọtọ "net" (CVE-2021-29923). Ọrụ net.ParseCIDR arụnyere n'ime na-amali na-eduga efu tupu ọnụọgụ octal kama ịhazi ha. Dịka ọmụmaatụ, onye na-awakpo nwere ike ịgafe uru 00000177.0.0.1, nke, mgbe a na-enyocha ya na net.ParseCIDR (00000177.0.0.1/24), a ga-atụgharị dị ka 177.0.0.1/24, ọ bụghị 127.0.0.1/24. Nsogbu a na-egosipụtakwa onwe ya na ikpo okwu Kubernetes. Edobere adịghị ike ahụ na ntọhapụ Go 1.16.3 na beta 1.17.

Ihe ọghọm dị na ọba akwụkwọ netwọkụ nke asụsụ Rust na Go na-enye gị ohere ịgafe nkwenye adreesị IP.


isi: opennet.ru

Tinye a comment