R valodas ieviešanas ievainojamība, kas ļauj izpildīt kodu, apstrādājot rds un rdx failus

Programmēšanas valodas R galvenajā implementācijā ir konstatēta kritiska ievainojamība (CVE-2024-27322), kas ir vērsta uz datu statistiskās apstrādes, analīzes un vizualizācijas problēmu risināšanu, kas noved pie koda izpildes, deserializējot nepārbaudītus datus. Ievainojamību var izmantot, apstrādājot īpaši izstrādātus failus RDS (R Data Serialization) un RDX formātos, ko izmanto datu apmaiņai starp lietojumprogrammām. Problēma ir atrisināta R 4.4.0 laidienā. Varat izsekot pakotņu atjauninājumu izlaišanai izplatījumos Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD lapās.

Ievainojamību izraisa funkcija readRDS, ko izmanto, lai ielādētu failus RDS un RDX formātos, kas ļauj serializētus R objektus pārsūtīt apstrādei citā sistēmā. Serializācija ļauj uztvert stāvokli un apmainīties ar datu kopām starp programmām. RDS formāts ļauj saglabāt stāvokli par vienu objektu, un RDX formāts kombinācijā ar RDB failiem ļauj pārsūtīt informāciju par vairākiem objektiem. Problēma ir tā, ka RDS formāts atbalsta PROMSXP objekta kodu, kas saistīts ar Promise tipu, ko izmanto, lai definētu izteiksmes, kuras tiek izsauktas asinhroni, ja tiek izmantotas ar tām saistītās vērtības.

Deserializācijas laikā solījuma objekta definēšanai tiek izmantotas trīs daļas — solījuma vērtība, izteiksme un vide. Ja tipam Promise nav iepriekš aprēķinātas vērtības, to aprēķina deserializācijas laikā, izpildot izteiksmi, izmantojot funkciju "eval". Tādā veidā uzbrucējs var izraisīt patvaļīga R koda izpildi, aizstājot to ar izteiksmi, kas saistīta ar neaprēķinātām vērtībām RDS vai RDX failos.

Avots: opennet.ru