Сүлжээний сүлжээгээр өгөгдөл хүлээн авах, илгээх хэрэгслийн зохиогч Даниел Стенберг эмзэг байдлын тайланг гаргахдаа хиймэл оюун ухааны хэрэгслийг ашиглахыг шүүмжилжээ. Ийм тайлангууд нь нарийвчилсан мэдээллийг агуулсан, энгийн хэлээр бичигдсэн, өндөр чанартай харагддаг боловч бодит байдалд сайтар дүн шинжилгээ хийхгүйгээр зөвхөн төөрөгдүүлж, бодит асуудлыг өндөр чанартай хог хаягдлаар солих болно.
Curl төсөл нь шинэ цоорхойг олж илрүүлэхэд урамшуулал олгодог бөгөөд болзошгүй асуудлын талаар 415 тайланг аль хэдийн хүлээн авсан бөгөөд үүнээс зөвхөн 64 нь эмзэг, 77 нь аюулгүй байдлын бус алдаа гэж батлагдсан. Тиймээс нийт тайлангийн 66% нь ямар ч хэрэгцээтэй мэдээлэл агуулаагүй бөгөөд зөвхөн ашигтай зүйлд зарцуулж болохуйц хөгжүүлэгчдээс цаг заваа алдсан байна.
Загварын гадаад чанар нь мэдээлэлд нэмэлт итгэлийг бий болгож, хөгжүүлэгч ямар нэг зүйлийг буруу ойлгосон гэсэн мэдрэмж төрдөг тул хөгжүүлэгчид ашиггүй тайланг задлан шинжилж, тэнд байгаа мэдээллийг хэд хэдэн удаа дахин шалгахад маш их цаг үрэхээс өөр аргагүй болдог. Нөгөөтэйгүүр, ийм тайлан гаргах нь өргөдөл гаргагчаас хамгийн бага хүчин чармайлт шаарддаг бөгөөд тэрээр бодит асуудал байгаа эсэхийг шалгахын тулд төвөг учруулдаггүй, харин шагнал авахын төлөө тэмцэлд аз хүлээж, хиймэл оюун ухааны туслахуудаас хүлээн авсан өгөгдлийг сохроор хуулж авдаг.
Ийм хогийн тайлангийн хоёр жишээг өгөв. Аюултай 2023-р сард (CVE-38545-XNUMX) эмзэг байдлын талаарх мэдээллийг задруулахаас өмнөх өдөр Хакероноор дамжуулан засвар бүхий засвар олон нийтэд нээлттэй болсон тухай тайланг илгээсэн. Үнэн хэрэгтээ уг тайланд Google-ийн хиймэл оюун ухааны туслах Бардын эмхэтгэсэн ижил төстэй асуудлуудын талаарх олон тооны баримтууд болон өнгөрсөн үеийн эмзэг байдлын талаарх дэлгэрэнгүй мэдээллийг агуулсан байв. Үүний үр дүнд мэдээлэл нь шинэ бөгөөд хамааралтай мэт харагдаж, бодит байдалтай ямар ч холбоогүй болсон.
Хоёрдахь жишээ нь 28-р сарын XNUMX-нд WebSocket зохицуулагчийн буфер халих тухай хүлээн авсан мессежийг Hackerone-ээр дамжуулан янз бүрийн төслүүдэд эмзэг байдлын талаар мэдээлсэн хэрэглэгчээс илгээсэнтэй холбоотой юм. Асуудлыг хуулбарлах аргын хувьд тайланд strcpy ашиглан хуулах үед ашигласан буферийн хэмжээнээс их утгатай өөрчлөгдсөн хүсэлтийг дамжуулах тухай ерөнхий үгсийг оруулсан болно. Тайланд мөн залруулгын жишээг (strcpy-г strncpy-ээр солих жишээ) өгсөн бөгөөд "strcpy(keyval, randstr)" кодын мөрийн холбоосыг зааж өгсөн бөгөөд энэ нь өргөдөл гаргагчийн хэлснээр алдаатай байсан.
Хөгжүүлэгч бүх зүйлийг гурван удаа шалгаж үзээд ямар ч асуудал гараагүй ч тайлан нь итгэлтэйгээр бичигдсэн, тэр ч байтугай залруулга агуулсан байсан тул хаа нэгтээ ямар нэг зүйл дутуу байгаа мэт мэдрэмж төрж байв. Судлаач strcpy дуудлагын өмнөх тодорхой хэмжээний шалгалтыг хэрхэн даван туулж чадсан, товчлуурын буферийн хэмжээ нь уншсан өгөгдлийн хэмжээнээс хэрхэн бага болсныг тодруулах оролдлого нь нарийвчилсан боловч нэмэлт мэдээлэл агуулаагүй, тайлбар өгөхөд хүргэсэн. Энэ нь зөвхөн Curl кодтой холбоогүй буфер халих тодорхой нийтлэг шалтгааныг зажилсан. Хариултууд нь хиймэл оюун ухааны туслахтай харилцахыг санагдуулам байсан бөгөөд асуудал яг хэрхэн илэрч байгааг олж мэдэхийн тулд хагас өдрийн турш дэмий оролдлого хийсний дараа хөгжүүлэгчид үнэндээ ямар ч эмзэг байдал байхгүй гэдэгт итгэлтэй байв.
Эх сурвалж: opennet.ru