рдЕтАНреЕрдбреНрд░реЗрд╕ рдкрд╛рд░реНрд╕рд┐рдВрдЧ рдлрдВрдХреНрд╢рдиреНрд╕рдордзреНрдпреЗ рдСрдХреНрдЯрд▓ рдЕрдВрдХрд╛рдВрд╕рд╣ IP рдкрддреНрддреНрдпрд╛рдВрдЪреНрдпрд╛ рдЪреБрдХреАрдЪреНрдпрд╛ рдкреНрд░рдХреНрд░рд┐рдпреЗрд╢реА рд╕рдВрдмрдВрдзрд┐рдд рдЕрд╕реБрд░рдХреНрд╖рд╛ рд░рд╕реНрдЯ рдЖрдгрд┐ рдЧреЛ рднрд╛рд╖рд╛рдВрдЪреНрдпрд╛ рдорд╛рдирдХ рд▓рд╛рдпрдмреНрд░рд░реАрдВрдордзреНрдпреЗ рдУрд│рдЦрд▓реНрдпрд╛ рдЧреЗрд▓реНрдпрд╛ рдЖрд╣реЗрдд. рднреЗрджреНрдпрддреЗрдореБрд│реЗ рдНрдкреНрд▓рд┐рдХреЗрд╢рдиреНрд╕рдордзреАрд▓ рд╡реИрдз рдкрддреНрддреНрдпрд╛рдВрд╕рд╛рдареА рдЪреЗрдХ рдмрд╛рдпрдкрд╛рд╕ рдХрд░рдгреЗ рд╢рдХреНрдп рд╣реЛрддреЗ, рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рд▓реВрдкрдмреЕрдХ рдЗрдВрдЯрд░рдлреЗрд╕ рдНрдбреНрд░реЗрд╕ (127.xxx) рдХрд┐рдВрд╡рд╛ рдЗрдВрдЯреНрд░рд╛рдиреЗрдЯ рд╕рдмрдиреЗрдЯреНрд╕рд╡рд░ SSRF (рд╕рд░реНрд╡реНрд╣рд░-рд╕рд╛рдЗрдб рд░рд┐рдХреНрд╡реЗрд╕реНрдЯ рдлреЛрд░реНрдЬрд░реА) рд╣рд▓реНрд▓реЗ рдХрд░рддрд╛рдирд╛ рдкреНрд░рд╡реЗрд╢ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдгреЗ. рдЕрд╕реБрд░рдХреНрд╖рд╛ рд▓рд╛рдпрдмреНрд░рд░реА рдиреЛрдб-рдиреЗрдЯрдорд╛рд╕реНрдХ (JavaScript, CVE-2021-28918, CVE-2021-29418), рдЦрд╛рдЬрдЧреА-ip (JavaScript, CVE-2020-28360), ipaddress (CVE-2021), ipaddress (JavaScript, CVE-29921-2021) рдордзреНрдпреЗ рдкреВрд░реНрд╡реА рдУрд│рдЦрд▓реНрдпрд╛ рдЧреЗрд▓реЗрд▓реНрдпрд╛ рд╕рдорд╕реНрдпрд╛рдВрдЪреЗ рдЪрдХреНрд░ рдЪрд╛рд▓реВ рдареЗрд╡рддрд╛рдд. 29662-2021 ), рдбреЗрдЯрд╛::Validate::IP (Perl, CVE-29424-XNUMX) рдЖрдгрд┐ Net::Netmask (Perl, CVE-XNUMX-XNUMX).
рд╕реНрдкреЗрд╕рд┐рдлрд┐рдХреЗрд╢рдирдиреБрд╕рд╛рд░, рд╢реВрдиреНрдпрд╛рдкрд╛рд╕реВрди рд╕реБрд░реВ рд╣реЛрдгрд╛рд░реНтАНрдпрд╛ рдЖрдпрдкреА рдЕреЕрдбреНрд░реЗрд╕ рд╕реНрдЯреНрд░рд┐рдВрдЧ рд╡реНрд╣реЕрд▓реНрдпреВрдЬрдЪрд╛ рдЕрд░реНрде рдСрдХреНрдЯрд▓ рдирдВрдмрд░ рдореНрд╣рдгреВрди рд▓рд╛рд╡рд▓рд╛ рдЬрд╛рд╡рд╛, рдкрд░рдВрддреБ рдЕрдиреЗрдХ рд▓рд╛рдпрдмреНрд░рд░реА рд╣реЗ рд╡рд┐рдЪрд╛рд░рд╛рдд рдШреЗрдд рдирд╛рд╣реАрдд рдЖрдгрд┐ рдлрдХреНрдд рд╢реВрдиреНрдп рдЯрд╛рдХреВрди рджреЗрддрд╛рдд, рдореВрд▓реНрдп рджрд╢рд╛рдВрд╢ рд╕рдВрдЦреНрдпрд╛ рдореНрд╣рдгреВрди рдорд╛рдирддрд╛рдд. рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдСрдХреНрдЯрд▓ рдордзреАрд▓ 0177 рд╣реА рд╕рдВрдЦреНрдпрд╛ рджрд╢рд╛рдВрд╢ рдордзреНрдпреЗ 127 рдЗрддрдХреА рдЖрд╣реЗ. рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛ "0177.0.0.1" рдореВрд▓реНрдп рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реВрди рд╕рдВрд╕рд╛рдзрдирд╛рдЪреА рд╡рд┐рдирдВрддреА рдХрд░реВ рд╢рдХрддреЛ, рдЬреЗ рджрд╢рд╛рдВрд╢ рдиреЛрдЯреЗрд╢рдирдордзреНрдпреЗ "127.0.0.1" рд╢реА рд╕рдВрдмрдВрдзрд┐рдд рдЖрд╣реЗ. рдЬрд░ рд╕рдорд╕реНрдпрд╛рдЧреНрд░рд╕реНрдд рд▓рд╛рдпрдмреНрд░рд░реА рд╡рд╛рдкрд░рд▓реА рдЕрд╕реЗрд▓, рддрд░ рдЕреЕрдкреНрд▓рд┐рдХреЗрд╢рди 0177.0.0.1 рд╣рд╛ рдкрддреНрддрд╛ 127.0.0.1/8 рд╕рдмрдиреЗрдЯрдордзреНрдпреЗ рдЖрд╣реЗ рд╣реЗ рд╢реЛрдзрдгрд╛рд░ рдирд╛рд╣реА, рдкрд░рдВрддреБ рдЦрд░рдВ рддрд░, рд╡рд┐рдирдВрддреА рдкрд╛рдард╡рддрд╛рдирд╛, рддреЛ "0177.0.0.1" рдкрддреНрддреНрдпрд╛рд╡рд░ рдкреНрд░рд╡реЗрд╢ рдХрд░реВ рд╢рдХрддреЛ, рдЬреЛ рдиреЗрдЯрд╡рд░реНрдХ рдлрдВрдХреНрд╢рдиреНрд╕ 127.0.0.1 рдореНрд╣рдгреВрди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд░рддреАрд▓. рдЕрд╢рд╛рдЪ рдкреНрд░рдХрд╛рд░реЗ, рддреБрдореНрд╣реА тАЬ012.0.0.1тАЭ (тАЬ10.0.0.1тАЭ рдЪреНрдпрд╛ рд╕рдорддреБрд▓реНрдп) рд╕рд╛рд░рдЦреА рдореВрд▓реНрдпреЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реВрди рдЗрдВрдЯреНрд░рд╛рдиреЗрдЯ рдкрддреНрддреНрдпрд╛рдВрд╡рд░ рдкреНрд░рд╡реЗрд╢ рддрдкрд╛рд╕рдгреНрдпрд╛рдЪреА рдлрд╕рд╡рдгреВрдХ рдХрд░реВ рд╢рдХрддрд╛.
Rust рдордзреНрдпреЗ, рдорд╛рдирдХ рд▓рд╛рдпрдмреНрд░рд░реА "std::net" рд╕рдорд╕реНрдпреЗрдореБрд│реЗ рдкреНрд░рднрд╛рд╡рд┐рдд рдЭрд╛рд▓реА (CVE-2021-29922). рдпрд╛ рд▓рд╛рдпрдмреНрд░рд░реАрдЪреНрдпрд╛ рдЖрдпрдкреА рдЕреЕрдбреНрд░реЗрд╕ рдкрд╛рд░реНрд╕рд░рдиреЗ рдкрддреНрддреНрдпрд╛рддреАрд▓ рдореВрд▓реНрдпрд╛рдВрдкреВрд░реНрд╡реА рд╢реВрдиреНрдп рдЯрд╛рдХреВрди рджрд┐рд▓реЗ, рдкрд░рдВрддреБ рдХреЗрд╡рд│ рддреАрди рдЕрдВрдХрд╛рдВрдкреЗрдХреНрд╖рд╛ рдЬрд╛рд╕реНрдд рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХреЗрд▓реЗ рдирд╕рд▓реНрдпрд╛рд╕, рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, "0177.0.0.1" рд╣реЗ рдЕрд╡реИрдз рдореВрд▓реНрдп рдореНрд╣рдгреВрди рд╕рдордЬрд▓реЗ рдЬрд╛рдИрд▓ рдЖрдгрд┐ рдЪреБрдХреАрдЪрд╛ рдкрд░рд┐рдгрд╛рдо рдЕрд╕реЗрд▓. 010.8.8.8 рдЖрдгрд┐ 127.0.026.1 рдЪреНрдпрд╛ рдкреНрд░рддрд┐рд╕рд╛рджрд╛рдд рдкрд░рдд рдХреЗрд▓реЗ рдЬрд╛рдИрд▓. рд╡рд╛рдкрд░рдХрд░реНрддрд╛-рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдкрддреНрддреЗ рдкрд╛рд░реНрд╕ рдХрд░рддрд╛рдирд╛ std::net::IpAddr рд╡рд╛рдкрд░рдгрд╛рд░реЗ рдЕрдиреБрдкреНрд░рдпреЛрдЧ SSRF (рд╕рд░реНрд╡реНрд╣рд░-рд╕рд╛рдЗрдб рд░рд┐рдХреНрд╡реЗрд╕реНрдЯ рдлреЛрд░реНрдЬрд░реА), RFI (рд░рд┐рдореЛрдЯ рдлрд╛рдЗрд▓ рд╕рдорд╛рд╡реЗрд╢) рдЖрдгрд┐ LFI (рд╕реНрдерд╛рдирд┐рдХ рдлрд╛рдЗрд▓ рд╕рдорд╛рд╡реЗрд╢) рд╣рд▓реНрд▓реНрдпрд╛рдВрдирд╛ рд╕рдВрднрд╛рд╡реНрдпрддрдГ рд╕рдВрд╡реЗрджрдирд╛рдХреНрд╖рдо рдЕрд╕рддрд╛рдд. рд░рд╕реНрдЯ 1.53.0 рд╢рд╛рдЦреЗрдд рднреЗрджреНрдпрддрд╛ рдирд┐рд╢реНрдЪрд┐рдд рдХреЗрд▓реА рдЧреЗрд▓реА.
Go рдордзреНрдпреЗ, рдорд╛рдирдХ рд▓рд╛рдпрдмреНрд░рд░реА "рдиреЗрдЯ" рдкреНрд░рднрд╛рд╡рд┐рдд рдЭрд╛рд▓реА рдЖрд╣реЗ (CVE-2021-29923). net.ParseCIDR рдмрд┐рд▓реНрдЯ-рдЗрди рдлрдВрдХреНрд╢рди рдСрдХреНрдЯрд▓ рдирдВрдмрд░реНрд╕рдЪреНрдпрд╛ рдЖрдзреА рд╢реВрдиреНрдпрд╛рд╡рд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХрд░рдгреНрдпрд╛рдРрд╡рдЬреА рддреНрдпрд╛рдВрдирд╛ рд╡рдЧрд│рддреЗ. рдЙрджрд╛рд╣рд░рдгрд╛рд░реНрде, рдЖрдХреНрд░рдордгрдХрд░реНрддрд╛ 00000177.0.0.1 рдореВрд▓реНрдп рдЙрддреНрддреАрд░реНрдг рдХрд░реВ рд╢рдХрддреЛ, рдЬреЗ рдиреЗрдЯрдордзреНрдпреЗ рддрдкрд╛рд╕рд▓реНрдпрд╛рд╡рд░ рдкрд╛рд░реНрд╕рд╕реАрдЖрдпрдбреАрдЖрд░(00000177.0.0.1/24) рдлрдВрдХреНрд╢рди 177.0.0.1/24 рдореНрд╣рдгреВрди рдкрд╛рд░реНрд╕ рдХреЗрд▓реЗ рдЬрд╛рдИрд▓, 127.0.0.1/24 рдирд╛рд╣реА. рд╕рдорд╕реНрдпрд╛ рдХреБрдмрд░реНрдиреЗрдЯреНрд╕ рдкреНрд▓реЕрдЯрдлреЙрд░реНрдордордзреНрдпреЗ рджреЗрдЦреАрд▓ рдкреНрд░рдХрдЯ рд╣реЛрддреЗ. рдЧреЛ рд░рд┐рд▓реАрдЬ 1.16.3 рдЖрдгрд┐ рдмреАрдЯрд╛ 1.17 рдордзреНрдпреЗ рднреЗрджреНрдпрддрд╛ рдирд┐рд╢реНрдЪрд┐рдд рдХреЗрд▓реА рдЖрд╣реЗ.
рд╕реНрддреНрд░реЛрдд: opennet.ru