Vulnerabilitates ad rectam processus IP inscriptionum cum digitorum octalium pertinentium in functionibus parsing inscriptionis notatae sunt in normarum bibliothecis Rust et Ite linguarum. Vulnerationes efficiunt ut cohibetiones praeterire possint pro inscriptionibus validis in applicationibus, exempli gratia, accessum ordinare ad accessum instrumenti interfaciendi (127.xxx) vel subnet intraneorum cum SSRF (Plagule petitionem falsam) oppugnationum exercendi. In vulneribus pergunt cyclum problematum antea in bibliothecis nodi-netmask notatum (JavaScript, CVE-2021-28918, CVE-2021-29418), privatum-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE- 2021-29921), Data:: Validate::IP (Perl, CVE-2021-29662) et Netmask (Perl, CVE-2021-29424).
Secundum specificationem, valores chordae IP inscriptionis incipientes a nihilo interpretari debent ut numeri octales, sed multae bibliothecae hoc in ratione non accipiunt et simpliciter nullas abiiciunt, valorem pro numero decimali tractantes. Exempli gratia, numerus 0177 in octal = 127 in decimali est. Invasor auxilium petere potest specificando valorem "0177.0.0.1", quod in notatione decimali respondet "127.0.0.1". Si bibliotheca problematica adhibetur, applicatio non deprehendet inscriptionem 0177.0.0.1 in subnet 127.0.0.1/8 esse, sed re vera, mittens petitionem, potest accedere ad electronicam "0177.0.0.1", quam. functiones retis mos processus ut 127.0.0.1. Simili modo, reprehendo accessum ad inscriptiones intraneas fallere potes definiendo valores sicut "012.0.0.1" (aequivalet ad "10.0.0.1").
In Rust, the standard library "std::net" was affected by an issue (CVE-2021-29922). Pars IP inscriptionis huius bibliothecae nullum ante valores in inscriptione abiecit, sed tantum si non plures quam tres digiti specificati essent, v. gr. "0177.0.0.1" viderentur valorem invalidum et exitum incorrectum. in responsione ad 010.8.8.8 et 127.0.026.1 redderetur. Applicationes quae utuntur std ::net::IpAddr cum inscriptiones parsing specificatae sunt in potentia receptibiles ad SSRF (inhibitionem falsitatis servientis), RFI (Inclusio File remoti) et LFI (Locus Tabulariorum Inclusionis) impetus. vulnerabilitas in Rust 1.53.0 ramo figebatur.
In Go, bibliotheca vexillum "rete" afficitur (CVE-2021-29923). In net.ParseCIDR constructum-in functione cyphras vagatur ante numeros octalos loco processus illos. Exempli gratia, oppugnator valorem 00000177.0.0.1 transire potest, quae, cum in rete deprimitur.ParseCIDR(00000177.0.0.1/24) munus, parsed erit ut 177.0.0.1/24, et non 127.0.0.1/24. Quaestio etiam in suggestu Kubernetes se manifestat. The vulnerability fixus in Go release 1.16.3 and beta 1.17.
Source: opennet.ru