เจชเฉเจฐเฉ‹เจนเฉ‹เจธเจŸเจฐ > ะ‘ะปะพะณ > เจ‡เฉฐเจŸเจฐเจจเฉˆเฉฑเจŸ เจ–เจฌเจฐ > Rust เจ…เจคเฉ‡ Go เจญเจพเจธเจผเจพเจตเจพเจ‚ เจฆเฉ€เจ†เจ‚ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจœเฉ‹ เจคเฉเจนเจพเจจเฉ‚เฉฐ IP เจเจกเจฐเฉˆเฉฑเจธ เจตเฉˆเจฐเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเฉ€ เจนเฉˆ

Rust เจ…เจคเฉ‡ Go เจญเจพเจธเจผเจพเจตเจพเจ‚ เจฆเฉ€เจ†เจ‚ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจœเฉ‹ เจคเฉเจนเจพเจจเฉ‚เฉฐ IP เจเจกเจฐเฉˆเฉฑเจธ เจตเฉˆเจฐเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเฉ€ เจนเฉˆ

เจฐเจธเจŸ เจ…เจคเฉ‡ เจ—เฉ‹ เจญเจพเจธเจผเจพเจตเจพเจ‚ เจฆเฉ€เจ†เจ‚ เจธเจŸเฉˆเจ‚เจกเจฐเจก เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš เจเจกเจฐเฉˆเฉฑเจธ เจชเจพเจฐเจธเจฟเฉฐเจ— เจซเฉฐเจ•เจธเจผเจจเจพเจ‚ เจตเจฟเฉฑเจš เจ”เจ•เจŸเจฒ เจ…เฉฐเจ•เจพเจ‚ เจตเจพเจฒเฉ‡ IP เจเจกเจฐเฉˆเฉฑเจธ เจฆเฉ€ เจ—เจฒเจค เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจจเจพเจฒ เจธเจฌเฉฐเจงเจค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฆเฉ€ เจชเจ›เจพเจฃ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆเฅค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ เจตเจฟเฉฑเจš เจตเฉˆเจง เจชเจคเจฟเจ†เจ‚ เจฒเจˆ เจœเจพเจ‚เจšเจพเจ‚ เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจเจพ เจธเฉฐเจญเจต เจฌเจฃเจพเจ‰เจ‚เจฆเฉ€เจ†เจ‚ เจนเจจ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจฒเฉ‚เจชเจฌเฉˆเจ• เจ‡เฉฐเจŸเจฐเจซเฉ‡เจธ เจชเจคเจฟเจ†เจ‚ (127.xxx) เจœเจพเจ‚ เจ‡เฉฐเจŸเจฐเจพเจจเฉˆเฉฑเจŸ เจธเจฌเจจเฉˆเฉฑเจŸเจพเจ‚ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจจเฉ‚เฉฐ เจธเฉฐเจ—เจ เจฟเจค เจ•เจฐเจจ เจฒเจˆ เจœเจฆเฉ‹เจ‚ SSRF (เจธเจฐเจตเจฐ-เจธเจพเจˆเจก เจฌเฉ‡เจจเจคเฉ€ เจœเจพเจ…เจฒเจธเจพเจœเจผเฉ€) เจนเจฎเจฒเฉ‡ เจ•เจฐเจฆเฉ‡ เจนเจจเฅค เจ•เจฎเจœเจผเฉ‹เจฐเฉ€เจ†เจ‚ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจจเฉ‹เจก-เจจเฉˆเฉฑเจŸเจฎเจพเจธเจ• (JavaScript, CVE-2021-28918, CVE-2021-29418), เจชเฉเจฐเจพเจˆเจตเฉ‡เจŸ-ip (JavaScript, CVE-2020-28360), ipaddress (CVE-2021-29921), ipaddress (JavaScript, CVE-2021-29662) เจตเจฟเฉฑเจš เจชเจนเจฟเจฒเจพเจ‚ เจชเจ›เจพเจฃเฉ€เจ†เจ‚ เจ—เจˆเจ†เจ‚ เจธเจฎเฉฑเจธเจฟเจ†เจตเจพเจ‚ เจฆเฉ‡ เจšเฉฑเจ•เจฐ เจจเฉ‚เฉฐ เจœเจพเจฐเฉ€ เจฐเฉฑเจ–เจฆเฉ€เจ†เจ‚ เจนเจจเฅค 2021-29424 ), เจกเฉ‡เจŸเจพ:: เจตเฉˆเจฒเฉ€เจกเฉ‡เจŸ::เจ†เจˆเจชเฉ€ (เจชเจฐเจฒ, เจธเฉ€เจตเฉ€เจˆ-XNUMX-XNUMX) เจ…เจคเฉ‡ เจจเฉˆเฉฑเจŸ::เจจเฉˆเฉฑเจŸเจฎเจพเจธเจ• (เจชเจฐเจฒ, เจธเฉ€เจตเฉ€เจˆ-XNUMX-XNUMX)เฅค

เจจเจฟเจฐเจงเจพเจฐเจจ เจฆเฉ‡ เจ…เจจเฉเจธเจพเจฐ, เจ‡เฉฑเจ• เจœเจผเฉ€เจฐเฉ‹ เจจเจพเจฒ เจธเจผเฉเจฐเฉ‚ เจนเฉ‹เจฃ เจตเจพเจฒเฉ‡ IP เจเจกเจฐเฉˆเฉฑเจธ เจธเจคเจฐ เจฆเฉ‡ เจฎเฉเฉฑเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจ…เจธเจผเจŸ เจธเฉฐเจ–เจฟเจ†เจตเจพเจ‚ เจฆเฉ‡ เจฐเฉ‚เจช เจตเจฟเฉฑเจš เจธเจฎเจเจฟเจ† เจœเจพเจฃเจพ เจšเจพเจนเฉ€เจฆเจพ เจนเฉˆ, เจชเจฐ เจฌเจนเฉเจค เจธเจพเจฐเฉ€เจ†เจ‚ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจ‡เจธ เจจเฉ‚เฉฐ เจงเจฟเจ†เจจ เจตเจฟเฉฑเจš เจจเจนเฉ€เจ‚ เจฐเฉฑเจ–เจฆเฉ€เจ†เจ‚ เจ…เจคเฉ‡ เจธเจฟเจฐเจซเจผ เจœเจผเฉ€เจฐเฉ‹ เจจเฉ‚เฉฐ เจฐเฉฑเจฆ เจ•เจฐเจฆเฉ€เจ†เจ‚ เจนเจจ, เจฎเฉเฉฑเจฒ เจจเฉ‚เฉฐ เจฆเจธเจผเจฎเจฒเจต เจธเฉฐเจ–เจฟเจ† เจฆเฉ‡ เจฐเฉ‚เจช เจตเจฟเฉฑเจš เจฎเฉฐเจจเจฆเฉ€เจ†เจ‚ เจนเจจเฅค เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ”เจ•เจŸเจฒ เจตเจฟเฉฑเจš เจธเฉฐเจ–เจฟเจ† 0177 เจฆเจธเจผเจฎเจฒเจต เจตเจฟเฉฑเจš 127 เจฆเฉ‡ เจฌเจฐเจพเจฌเจฐ เจนเฉˆเฅค เจ‡เฉฑเจ• เจนเจฎเจฒเจพเจตเจฐ "0177.0.0.1" เจฎเฉเฉฑเจฒ เจจเจฟเจฐเจงเจพเจฐเจค เจ•เจฐเจ•เฉ‡ เจ‡เฉฑเจ• เจธเจฐเฉ‹เจค เจฒเจˆ เจฌเฉ‡เจจเจคเฉ€ เจ•เจฐ เจธเจ•เจฆเจพ เจนเฉˆ, เจœเฉ‹ เจฆเจธเจผเจฎเจฒเจต เจธเฉฐเจ•เฉ‡เจค เจตเจฟเฉฑเจš "127.0.0.1" เจจเจพเจฒ เจฎเฉ‡เจฒ เจ–เจพเจ‚เจฆเจพ เจนเฉˆเฅค เจœเฉ‡เจ•เจฐ เจธเจฎเฉฑเจธเจฟเจ† เจตเจพเจฒเฉ€ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€ เจตเจฐเจคเฉ€ เจœเจพเจ‚เจฆเฉ€ เจนเฉˆ, เจคเจพเจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจ เจชเจคเจพ เจจเจนเฉ€เจ‚ เจฒเจตเฉ‡เจ—เฉ€ เจ•เจฟ เจชเจคเจพ 0177.0.0.1 เจธเจฌเจจเฉˆเฉฑเจŸ 127.0.0.1/8 เจตเจฟเฉฑเจš เจนเฉˆ, เจชเจฐ เจ…เจธเจฒ เจตเจฟเฉฑเจš, เจฌเฉ‡เจจเจคเฉ€ เจญเฉ‡เจœเจฃ เจตเฉ‡เจฒเฉ‡, เจ‡เจน "0177.0.0.1" เจชเจคเฉ‡ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจ•เจฐ เจธเจ•เจฆเจพ เจนเฉˆ, เจœเฉ‹ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจซเฉฐเจ•เจธเจผเจจ 127.0.0.1 เจฆเฉ‡ เจคเฉŒเจฐ เจคเฉ‡ เจชเฉเจฐเจ•เจฟเจฐเจฟเจ† เจ•เจฐเฉ‡เจ—เจพเฅค เจ‡เจธเฉ‡ เจคเจฐเฉเจนเจพเจ‚, เจคเฉเจธเฉ€เจ‚ "012.0.0.1" ("10.0.0.1" เจฆเฉ‡ เจฌเจฐเจพเจฌเจฐ) เจตเจฐเจ—เฉ‡ เจฎเฉเฉฑเจฒเจพเจ‚ เจจเฉ‚เฉฐ เจจเจฟเจธเจผเจšเจฟเจค เจ•เจฐเจ•เฉ‡ เจ‡เฉฐเจŸเจฐเจพเจจเฉˆเฉฑเจŸ เจชเจคเจฟเจ†เจ‚ เจคเฉฑเจ• เจชเจนเฉเฉฐเจš เจฆเฉ€ เจœเจพเจ‚เจš เจจเฉ‚เฉฐ เจงเฉ‹เจ–เจพ เจฆเฉ‡ เจธเจ•เจฆเฉ‡ เจนเฉ‹เฅค

Rust เจตเจฟเฉฑเจš, เจฎเจฟเจ†เจฐเฉ€ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€ "std::net" เจ‡เฉฑเจ• เจฎเฉเฉฑเจฆเฉ‡ (CVE-2021-29922) เจฆเฉเจ†เจฐเจพ เจชเฉเจฐเจญเจพเจตเจฟเจค เจนเฉ‹เจˆ เจธเฉ€เฅค เจ‡เจธ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€ เจฆเฉ‡ IP เจเจกเจฐเฉˆเฉฑเจธ เจชเจพเจฐเจธเจฐ เจจเฉ‡ เจชเจคเฉ‡ เจฆเฉ‡ เจฎเฉเฉฑเจฒเจพเจ‚ เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ เจ‡เฉฑเจ• เจœเจผเฉ€เจฐเฉ‹ เจจเฉ‚เฉฐ เจฐเฉฑเจฆ เจ•เจฐ เจฆเจฟเฉฑเจคเจพ, เจชเจฐ เจธเจฟเจฐเจซเจผ เจคเจพเจ‚ เจนเฉ€ เจœเฉ‡เจ•เจฐ เจคเจฟเฉฐเจจ เจ…เฉฐเจ•เจพเจ‚ เจคเฉ‹เจ‚ เจตเฉฑเจง เจจเจนเฉ€เจ‚ เจฆเจฟเฉฑเจคเฉ‡ เจ—เจ, เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, โ€œ0177.0.0.1โ€ เจจเฉ‚เฉฐ เจ‡เฉฑเจ• เจ…เจตเฉˆเจง เจฎเฉเฉฑเจฒ เจตเจœเฉ‹เจ‚ เจธเจฎเจเจฟเจ† เจœเจพเจตเฉ‡เจ—เจพ, เจ…เจคเฉ‡ เจ‡เฉฑเจ• เจ—เจฒเจค เจจเจคเฉ€เจœเจพ 010.8.8.8 เจ…เจคเฉ‡ 127.0.026.1 เจฆเฉ‡ เจœเจตเจพเจฌ เจตเจฟเฉฑเจš เจตเจพเจชเจธ เจ•เฉ€เจคเจพ เจœเจพเจตเฉ‡เจ—เจพเฅค เจ‰เจชเจฏเฉ‹เจ—เจ•เจฐเจคเจพ เจฆเฉเจ†เจฐเจพ เจจเจฟเจฐเจงเจพเจฐเจค เจชเจคเจฟเจ†เจ‚ เจจเฉ‚เฉฐ เจชเจพเจฐเจธ เจ•เจฐเจจ เจตเฉ‡เจฒเฉ‡ std::net::IpAddr เจฆเฉ€ เจตเจฐเจคเฉ‹เจ‚ เจ•เจฐเจจ เจตเจพเจฒเฉ€เจ†เจ‚ เจเจชเจฒเฉ€เจ•เฉ‡เจธเจผเจจเจพเจ‚ SSRF (เจธเจฐเจตเจฐ-เจธเจพเจˆเจก เจฌเฉ‡เจจเจคเฉ€ เจœเจพเจ…เจฒเจธเจพเจœเจผเฉ€), RFI (เจฐเจฟเจฎเฉ‹เจŸ เจซเจพเจˆเจฒ เจ‡เจจเจ•เจฒเฉ‚เจœเจผเจจ) เจ…เจคเฉ‡ LFI (เจธเจฅเจพเจจเจ• เจซเจพเจˆเจฒ เจธเฉฐเจฎเจฟเจฒเจจ) เจนเจฎเจฒเจฟเจ†เจ‚ เจฒเจˆ เจธเฉฐเจญเจพเจตเฉ€ เจคเฉŒเจฐ 'เจคเฉ‡ เจธเฉฐเจตเฉ‡เจฆเจจเจธเจผเฉ€เจฒ เจนเฉเฉฐเจฆเฉ€เจ†เจ‚ เจนเจจเฅค Rust 1.53.0 เจฌเฉเจฐเจพเจ‚เจš เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจจเฉ‚เฉฐ เจ เฉ€เจ• เจ•เฉ€เจคเจพ เจ—เจฟเจ† เจธเฉ€เฅค

Rust เจ…เจคเฉ‡ Go เจญเจพเจธเจผเจพเจตเจพเจ‚ เจฆเฉ€เจ†เจ‚ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจœเฉ‹ เจคเฉเจนเจพเจจเฉ‚เฉฐ IP เจเจกเจฐเฉˆเฉฑเจธ เจตเฉˆเจฐเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเฉ€ เจนเฉˆ

เจ—เฉ‹ เจตเจฟเฉฑเจš, เจฎเจฟเจ†เจฐเฉ€ เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€ "เจจเฉˆเฉฑเจŸ" เจชเฉเจฐเจญเจพเจตเจฟเจค เจนเฉเฉฐเจฆเฉ€ เจนเฉˆ (CVE-2021-29923)เฅค net.ParseCIDR เจฌเจฟเจฒเจŸ-เจ‡เจจ เจซเฉฐเจ•เจธเจผเจจ เจ‰เจนเจจเจพเจ‚ เจจเฉ‚เฉฐ เจชเฉเจฐเฉ‹เจธเฉˆเจธ เจ•เจฐเจจ เจฆเฉ€ เจฌเจœเจพเจ เจ…เจธเจผเจŸ เจธเฉฐเจ–เจฟเจ†เจตเจพเจ‚ เจคเฉ‹เจ‚ เจชเจนเจฟเจฒเจพเจ‚ เจœเจผเฉ€เจฐเฉ‹ เจจเฉ‚เฉฐ เจ›เฉฑเจก เจฆเจฟเฉฐเจฆเจพ เจนเฉˆเฅค เจ‰เจฆเจพเจนเจฐเจจ เจฒเจˆ, เจ‡เฉฑเจ• เจนเจฎเจฒเจพเจตเจฐ เจฎเฉเฉฑเจฒ 00000177.0.0.1 เจชเจพเจธ เจ•เจฐ เจธเจ•เจฆเจพ เจนเฉˆ, เจœเจฟเจธเจจเฉ‚เฉฐ, เจœเจฆเฉ‹เจ‚ net.ParseCIDR(00000177.0.0.1/24) เจซเฉฐเจ•เจธเจผเจจ เจตเจฟเฉฑเจš เจšเฉˆเฉฑเจ• เจ•เฉ€เจคเจพ เจœเจพเจ‚เจฆเจพ เจนเฉˆ, เจคเจพเจ‚ 177.0.0.1/24 เจตเจœเฉ‹เจ‚ เจชเจพเจฐเจธ เจ•เฉ€เจคเจพ เจœเจพเจตเฉ‡เจ—เจพ, เจจเจพ เจ•เจฟ 127.0.0.1/24เฅค เจธเจฎเฉฑเจธเจฟเจ† เจ•เฉเจฌเจฐเจจเฉ‡เจŸเจธ เจชเจฒเฉ‡เจŸเจซเจพเจฐเจฎ เจตเจฟเฉฑเจš เจตเฉ€ เจชเฉเจฐเจ—เจŸ เจนเฉเฉฐเจฆเฉ€ เจนเฉˆเฅค เจ—เฉ‹ เจฐเฉ€เจฒเฉ€เจœเจผ 1.16.3 เจ…เจคเฉ‡ เจฌเฉ€เจŸเจพ 1.17 เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจซเจฟเจ•เจธ เจ•เฉ€เจคเฉ€ เจ—เจˆ เจนเฉˆเฅค

Rust เจ…เจคเฉ‡ Go เจญเจพเจธเจผเจพเจตเจพเจ‚ เจฆเฉ€เจ†เจ‚ เจจเฉˆเฉฑเจŸเจตเจฐเจ• เจฒเจพเจ‡เจฌเฉเจฐเฉ‡เจฐเฉ€เจ†เจ‚ เจตเจฟเฉฑเจš เจ•เจฎเจœเจผเฉ‹เจฐเฉ€ เจœเฉ‹ เจคเฉเจนเจพเจจเฉ‚เฉฐ IP เจเจกเจฐเฉˆเฉฑเจธ เจตเฉˆเจฐเฉ€เจซเจฟเจ•เฉ‡เจธเจผเจจ เจจเฉ‚เฉฐ เจฌเจพเจˆเจชเจพเจธ เจ•เจฐเจจ เจฆเฉ€ เจ‡เจœเจพเจœเจผเจค เจฆเจฟเฉฐเจฆเฉ€ เจนเฉˆ


เจธเจฐเฉ‹เจค: opennet.ru

เจ‡เฉฑเจ• เจŸเจฟเฉฑเจชเจฃเฉ€ เจœเฉ‹เฉœเฉ‹