The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Уязвимость в Guile, затрагивающая программы, привязанные к l..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от opennews (ok) on 14-Окт-16, 10:43 
Разработчики проекта  GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили (https://lists.gnu.org/archive/html/guile-user/2016-10/msg000...) заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь  к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы.


Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, всё больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" и браузер обратиться к локальному сервису, ожидающему соединений на порту 6379.


Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика сервису можно отправить любую команду. Для скрытия обращения к localhost могут быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов с localhost, подобным способом можно организовать выполнение произвольного кода на языке Scheme на машине разработчика. Для локальных сервисов  рекомендуется использовать unix-сокеты или именованные каналы, и не полагаться на привязку к localhost. Аналогичные способы атаки ранее были выявлены (http://bouk.co/blog/hacking-developers/) для БД Redis, Elasticsearch и  Memcached.

URL: https://lists.gnu.org/archive/html/guile-user/2016-10/msg000...
Новость: http://www.opennet.me/opennews/art.shtml?num=45321

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +20 +/
Сообщение от A.Stahl (ok) on 14-Окт-16, 10:53 
Внимание! Утечка борща в третьей зоне. Уровень тревоги -- зелёно-фиолетовый. Рекомендуется погасить все localhost интерфейсы.
Лисперам с личными котелками выстроиться в столовой и ждать указаний.
Внимание...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –3 +/
Сообщение от Аноним (??) on 14-Окт-16, 12:48 
Главное чтоб дырявых ложек всем хватило.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +2 +/
Сообщение от Аноним (??) on 14-Окт-16, 11:06 
> Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили заслуживающую внимания уязвимость

Не льстите себе, всем пофиг. Её никто не использует кроме разработчиков.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Аноним (??) on 14-Окт-16, 12:09 
Используется в пакетном менеджере GUIX.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

12. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +3 +/
Сообщение от Аноним (??) on 14-Окт-16, 13:14 
...который тоже не использует никто, кроме разработчиков. Они прям созданы друг для друга.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Ordu email(ok) on 14-Окт-16, 18:36 
> Её никто не использует кроме разработчиков.

Вообще, за редким исключением, языками программирования пользуются разработчики. MS пыталась привить пользователям любовь к васику, из этого ничего не вышло. И guile гораздо приятнее всяких васиков или lua. В том же lilypond'е, например. Он попадается и в других местах, скажем, в гимпе, но на гимп мне плевать, совершенно ненужная программа, по-моему. А вот с lilypond'ом я с удовольствием вожусь, и схема там очень кстати.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

30. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от кругомогорожено on 14-Окт-16, 22:59 
Половина gschem (редактор принципиальных схем из gEDA, САПР для электроники) написана на Scheme. gEDA/gaf - набор специализированных утилит в духе UNIX, склеенных между собой скриптами на Scheme (бекенды для обработки списка соединений, экспортеры/импортеры/конвертеры).
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

33. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 15-Окт-16, 04:39 
Я использую.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

35. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от admin (??) on 15-Окт-16, 07:51 
pacman -Qii guile
Required By     : make
pacman -Qii make
Depends On      : glibc  guile
точно никто?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 15-Окт-16, 14:31 
Package: make
Source: make-dfsg
Version: 4.0-8.1
Installed-Size: 1057
Maintainer: Manoj Srivastava <srivasta@debian.org>
Architecture: i386
Depends: libc6 (>= 2.17)
Replaces: make-guile <- it's dead, Jim
Suggests: make-doc
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от admin (??) on 16-Окт-16, 01:03 
Name            : make
Version         : 4.2.1-1
Description     : GNU make utility to maintain groups of programs
Architecture    : x86_64
URL             : http://www.gnu.org/software/make
Licenses        : GPL3
Groups          : base-devel
Provides        : None
Depends On      : glibc  guile
Optional Deps   : None
Required By     : None
Optional For    : None
Conflicts With  : None
Replaces        : None
Installed Size  : 1504.00 KiB
Packager        : Andreas Radke <andyrtr@archlinux.org>
Build Date      : Sat 11 Jun 2016 03:13:41 PM EEST
Install Date    : Tue 14 Jun 2016 09:47:13 PM EEST
Install Reason  : Explicitly installed
Install Script  : No
Validated By    : Signature
Backup Files    :
(none)
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от admin (??) on 16-Окт-16, 01:11 
https://www.gnu.org/software/make/manual/make.html#Guile-Int...
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Яр on 15-Окт-16, 20:55 
И это очень странно
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

4. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +2 +/
Сообщение от Crazy Alex (ok) on 14-Окт-16, 11:19 
На вид - это скорее в браузерах уязвимость
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Аноним (??) on 14-Окт-16, 12:11 
Вот я тоже об этом подумал.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +3 +/
Сообщение от Andrey Mitrofanov on 14-Окт-16, 14:48 
> На вид - это скорее в браузерах уязвимость

Вот не надо грязи. Это не уязвимость, это их основная функция: загрузить неизестно что неизвестно откуда и немедленно выполнить. А уж кто на localhost-е не спратался...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –2 +/
Сообщение от Аноним (??) on 14-Окт-16, 16:09 
Это в браузере. Если запретить кроссхост, то уязвимости не будет! А поломанные сайты - это проблемы владельцев сайтов... Ну или белый список прикручивать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от angra (ok) on 15-Окт-16, 04:30 
А если пойти по ссылке и внимательно почитать?
Есть некий evilsite.tld на котором нехорошая страничка. TTL для A записи стоит в 1 секунду. И 9 секунд из 10 указывает на его настоящий IP, а 1 секунду на 127.0.0.1. При просмотре странички загружается и выполянется js, который раз в секунду пытается отправить запрос на evilsite.tld. И никакого cross-site.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Crazy Alex (ok) on 14-Окт-16, 17:12 
Ну, намёк понял и даже частично согласен, но вообще-то у них там CSP на этот счёт нынче есть. А согласен - в том плане, что на надёжность песочницы рассчитывать - себя не уважать. Либо у тебя недоверенный код не вопоняется в принципе, либо просто надейся, что тебя не поломают.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

6. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от freehck email(ok) on 14-Окт-16, 12:08 
Однако. Это получается, что чтобы атаковать лиспера, необходимо захватить DNS-сервер, которым он пользуется, вставить в него A-запись для какого-нибудь сайта 127.0.0.1, потом заставить этого лиспера открыть специальную страницу, которая будет слать запросы на этот сайт, и эксплуатировать уязвимость guile, чтобы выполнить на машине разработчика произвольный код...

Знаете, наверное этот лиспер должен быть очень важным, раз на него такая изощрённая целевая атака идёт. :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 14-Окт-16, 12:52 
Или вставить запись в один из популярных host-файлов для блокировки рекламы
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 14-Окт-16, 13:04 
Зачем вообще какую-то запись вставлять? Сразу к 127.0.0.1 коннектиться.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 14-Окт-16, 15:35 
Same Origin?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

28. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 14-Окт-16, 19:28 
> Зачем вообще какую-то запись вставлять?

Чтоб заманить на контролируемую страничку.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

32. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от angra (ok) on 15-Окт-16, 04:33 
> Знаете, наверное этот лиспер должен быть очень важным, раз на него такая изощрённая целевая атака идёт. :)

А кто сказал, что атака должна быть целевой? Создаем ресурс, раскручиваем его среди девелоперов(не обязательно лисперов, это не только для них уязвимость), в один прекрасный день собираем урожай. Время от времени повторяем.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от freehck email(ok) on 18-Окт-16, 00:34 
> не обязательно лисперов, это не только для них уязвимость

А мне кажется, что речь только про программы на Guile, стало быть обязательно лисперов. :)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

14. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +2 +/
Сообщение от Аноним (??) on 14-Окт-16, 15:02 
Даже уязвимости в scheme не содержат побочных эффектов!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 14-Окт-16, 15:36 
Вот и до админов локалхоста добрались
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от Админ локалхоста on 14-Окт-16, 15:46 
И что мне теперь делать?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Andrey Mitrofanov on 14-Окт-16, 15:55 
> И что мне теперь делать?

Начинай использовать Нью Гайл! Теперь это Настоящий Язык -- с уязвимаостями и секурити фиксами. Пора!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от Нанобот (ok) on 14-Окт-16, 16:01 
Предлагаю запретить 127.0.0.1 и аналоги в браузерах для домохозяек
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Andrey Mitrofanov on 14-Окт-16, 16:27 
> Предлагаю запретить 127.0.0.1 и аналоги в браузерах для домохозяек

Девелоперам на гну гайле завезли какие-то "отдельные" броузеры?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –2 +/
Сообщение от Админ локалхоста on 14-Окт-16, 16:38 
> Предлагаю запретить 127.0.0.1 и аналоги в браузерах для домохозяек

Предлагаю запретить /etc/hosts

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +2 +/
Сообщение от Crazy Alex (ok) on 14-Окт-16, 17:13 
Подозрительный ты админ локалхоста. Это ынтырпрайзные товарищи такое любят обычно.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

34. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Аноним (??) on 15-Окт-16, 06:10 
Действительно подозрительный, для тех кто не понимает сарказма.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –4 +/
Сообщение от Аноним (??) on 14-Окт-16, 17:42 
Tcp на локалхосте только хипстеры используют. Бородатые мужики - только югикс-сокеты.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +1 +/
Сообщение от Crazy Alex (ok) on 14-Окт-16, 18:51 
То есть авторы GNU Guile недостаточно бородаты? Так и запишем...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от Аноним (??) on 15-Окт-16, 16:19 
Ну что, зоркий глаз, на 15-й год ты заметил что браузер может ходить на локалхост? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Уязвимость в Guile  -- теперь и без DNS-подпорок"  +/
Сообщение от Andrey Mitrofanov on 20-Окт-16, 11:53 
> Ну что, зоркий глаз, на 15-й год ты заметил что браузер может
> ходить на локалхост? :)

Кстати, эти их lisp-хакеры https://lists.gnu.org/archive/html/guile-devel/2016-10/msg00... "просто" сделали https://blog.lizzie.io/exploiting-CVE-2016-8606.html и без DNS-ов и их переключений, а ч-з обычный :-S XMLHttpRequest и немного lisp-магии с переписыванием lisp-программы [как данных], чтоб в ней не было пробелов и кавычек. Секьюрити-иксперты с DNS-костылями курят в сторонке.

Вау!

...Броузер... js... и немедленно исполнить. Прекрасно!

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  –1 +/
Сообщение от й on 17-Окт-16, 14:21 
тссс, не подсказывайте им про эрланг
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Уязвимость в Guile, затрагивающая программы, привязанные к l..."  +/
Сообщение от Andrey Mitrofanov on 17-Окт-16, 19:13 
> тссс, не подсказывайте им про эрланг

Не, не подсказывайте http://wingolog.org/archives/2016/10/12/an-incomplete-histor... , не надо http://wingolog.org/archives/2016/09/20/concurrent-ml-versus-go .

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру