Уязвимости в Redis, Ghostscript, Asterisk и Parse Server

12.07.2023 16:27

Несколько недавно выявленных опасных уязвимостей:

CVE-2022-24834 - уязвимость в СУБД Redis, позволяющая вызвать переполнение буфера в библиотеках cjson и cmsgpack при выполнении специально оформленного сценария на языке Lua. Потенциально уязвимость может привести к удалённому выполнению кода на сервере. Проблема проявляется начиная с Redis 2.6 и устранена в выпусках 7.0.12, 6.2.13 и 6.0.20. В качестве обходного пути защиты можно через ACL запретить пользователям Redis выполнять команды EVAL и EVALSHA.
CVE-2023-36824 уязвимость в СУБД Redis, приводящая к переполнению буфера при обработке имён ключей, переданных через команду COMMAND GETKEYS или COMMAND GETKEYSANDFLAGS, а так же списков ключей в правилах ACL. Потенциально уязвимость может привести к удалённому выполнению кода на сервере. Проблема проявляется только в ветке 7.0.x и устранена в выпуске 7.0.12.
CVE-2022-23537 - уязвимость в коммуникационной платформе Asterisk, приводящая к переполнению буфера при разборе сервером специально оформленных сообщений STUN, в которых указан неизвестный атрибут. Проблема проявляется при использовании в Asterisk протоколов ICE или WebRTC. Уязвимость устранена в выпусках 16.30.1, 18.18.1, 19.8.1 и 20.3.1.
CVE-2023-36664 - уязвимость в Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, позволяющая выполнить произвольный код при открытии специально оформленных документов в формате PostScript. Проблема вызвана некорректной обработкой имён файлов, начинающихся с символа "|" или префикса %pipe%. Уязвимость устранена в выпуске Ghostscript 10.01.2.
Дополнение: опубликован прототип эксплоита, позволяющий организовать выполнение кода при открытии специально оформленных файлов PS (PostScript) или EPS (Embedded Postscript).
Во многих окружениях Ghostscript вызывается в процессе создания миниатюр на рабочем столе или при фоновой индексации данных, поэтому для атаки иногда достаточно просто загрузить файл с эксплоитом или просмотреть каталог с ним в Nautilus. Атаку на серверные системы можно организовать через обработчики изображений на базе пакетов ImageMagick и GraphicsMagick, вызывающие Ghostscript при передаче JPEG или PNG-файлов, в которых вместо картинки находится код PostScript (такой файл будет обработан в Ghostscript, так как MIME-тип распознаётся по содержимому, а не полагаясь на расширение).
CVE-2023-36475 - уязвимость в Parse Server, бэкенде к Node.js, работающем с web-фреймворком Express, позволяющая удалённо выполнить свой код на сервере. Уязвимость позволяет применить метод засорения прототипа объектов JavaScript ("prototype pollution") для выполнения своего кода через BSON-парсер MongoDB. Уязвимости присвоен уровень опасности 9.8 из 10. Проблема устранена в обновлениях parse-server 5.5.2 и 6.2.1.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59430-redis

Ключевые слова: redis, ghostscript, asterisk

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, Аноним (1), 16:58, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ghostscript который раз штопают, а он всё продолжает рваться. Может, там какую-нибудь ба-а-а-альшую заплатку прифигарить, чтобы уж пофиксить как-то это безобразие?

2.3, Аноним (3), 17:35, 12/07/2023 [^] [^^] [^^^] [ответить]	–3 +/–
Это корпоративный бэкдор, типа avahi или networkmanager.

3.12, Аноним (12), 20:21, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?

4.27, Аноним (3), 09:29, 13/07/2023 [^] [^^] [^^^] [ответить]	+/–
Нет, внедряют в дистрибутивы, чтобы вендорлок. Ну и пользователи любят обмазываться бэкдорами.

5.34, Аноним (-), 23:07, 14/07/2023 [^] [^^] [^^^] [ответить]	+/–
Он из большинства дистров без проблем сносится. И является лишь 1 из опций, даже не везде дефолтной. Просто оно умеет большую часть того что на десктопе или ноуте обычно юзерам надо, ну вот его и ставят. У меня на дебиане и даже убунтах его много где нет. Вообще ни на что не влияет, кроме того что теперь вы не получите вон ту гуйную приблуду в трее или что там за (экто)плазма у вас была для настройки вафель и проч - и таки пойдете сетапить сие мануально.

4.33, Аноним (33), 23:04, 14/07/2023 [^] [^^] [^^^] [ответить]	+1 +/–
> networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками? Чтобы среднего пошиба юзерь мог настроить конект к вафле какой, особенно энтерпрайзной, не слетев с катушек при этом. Не то чтобы это иначе нельзя - но это уже для хардкорных фриков.

5.36, Анониссимус (?), 00:56, 21/07/2023 [^] [^^] [^^^] [ответить]	+/–
Да, я как-то раз поднимал вафлю через wpa_supplicant. Нажрался кактусов вдоволь, больше не хочется. Но и network manager -- то ещё гoвнище. К сожалению, нормальных инструментов для wifi не завезли.

2.7, User (??), 20:02, 12/07/2023 [^] [^^] [^^^] [ответить]	+1 +/–
"Знал бы - сразу молнию пришил!"(С)

2.22, Аноним (22), 23:49, 12/07/2023 [^] [^^] [^^^] [ответить]	–1 +/–
боььшой заплаткой будет создание ghostscript API- и ABI-совместимой обёртки над pdfbox, который написано на безопасном по памяти языке Javz. И выкинуть этот ghostscript в мусор. всё равно кроме PDF важных кейсов нет, а выполниять postscript - это уже само remote code execution, даже ломать ничего не надо, штатной функциональности хватает.

3.31, Да ну нахер (?), 12:30, 14/07/2023 [^] [^^] [^^^] [ответить]	+/–
>на безопасном по памяти языке Javz Безопасным является только язык Карбон.

1.2, Юморист без диплома (?), 17:14, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Мало кто знает, что EVALSHA это феминитив.

2.10, Аноним (12), 20:17, 12/07/2023 [^] [^^] [^^^] [ответить]	+6 +/–
Мало кто знает, что такое феминитив. ))

2.32, some (??), 21:52, 14/07/2023 [^] [^^] [^^^] [ответить]	+/–
Боюсь спросить, какие у неё трудовые обязанности =)))

1.4, Quad Romb (ok), 18:12, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Тут как-то проскакивала новость про Redis-совместимую БД Dragonfly. В комментариях даже сам автор этой БД отметился. Интересно, вот с этой самой совместимостью - там уязвимость не унаследовали случайно?

2.6, Golangdev (?), 19:59, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
так у неё лицензия несвободная, SSPL мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так и Ынтырпрайзов будет использоватья Redis

3.13, Golangdev (?), 20:24, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
минусующий хочет со мной поспорить и готов проголосовать своим кошельком %)

3.15, Quad Romb (ok), 20:53, 12/07/2023 [^] [^^] [^^^] [ответить]

+/–

> так у неё лицензия несвободная, SSPL

Не обратил на это внимание.
Там с 15 марта 2028 года уже что-то другое - какое-то ответвление от Apache License 2.0, под названием BSL 1.1.

> мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так
> и Ынтырпрайзов будет использоватья Redis

Однако, начало текста даже этой лицензии подтверждает сказанное Вами, а именно - "The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work."

Ну, если продукт отчаянно хорош и имеет толковую поддержку, то кто-то будет за него платить.
Но, большинство, согласен с Вами, будет такую БД избегать.

3.17, пох. (?), 21:17, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?

4.20, Quad Romb (ok), 21:30, 12/07/2023 [^] [^^] [^^^] [ответить]

+/–

> напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?

BSD 3-Clause "New" or "Revised" License
A permissive license similar to the BSD 2-Clause License, but with a 3rd clause that prohibits others from using the name of the copyright holder or its contributors to promote derived products without written consent.

Другими словами, коммерческое использование допускается, но не допускается использование марки "Redis" в чужих ответвлениях от этого продукта.

2.25, Аноним (25), 01:02, 13/07/2023 [^] [^^] [^^^] [ответить]	+1 +/–
>Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library. Они не осилили добавить поддержку FreeBSD. По сему, фтопку.

1.8, Аноним (12), 20:13, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> "в библиотеках cjson"

Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.

1.11, Аноним (11), 20:19, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Может, просто не стоило в key-value db "выполнять сценарии на языке lua"? А... хотя да, о чем я...

2.14, Аноним (12), 20:26, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
Lua как управляемый код виртуальной машины .NET — Common Language Runtime ?

2.16, Аноньимъ (ok), 21:01, 12/07/2023 [^] [^^] [^^^] [ответить]	+/–
Вы ещё скажите что файлам нужен унифицированый формат метаданных для определения типа содержимого. Или скажем что файловая система что-то такое может хранить.

2.19, Tron is Whistling (?), 21:25, 12/07/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Это тогда обезьянкам придётся учиться делать структуры данных так, чтобы не создавать избыточной передачи таковых с DBMS на бэк.

3.28, Анонимусс (?), 11:40, 13/07/2023 [^] [^^] [^^^] [ответить]	+/–
А пока что обезьянки запутались в типах и не смогли почитать размер буфера. Опять... - size_t newsize = (buf->len+len)2; + size_t newsize = buf->len+len; + if (newsize < buf->len \|\| newsize >= SIZE_MAX/2) abort(); + newsize = 2; https://github.com/redis/redis/pull/12398/files

4.29, Tron is Whistling (?), 14:30, 13/07/2023 [^] [^^] [^^^] [ответить]	+/–
Ну, за обезьянок-то буферы выделяет низкоуровневая подложка, V8 какой-нибудь, поэтому запутаться они не могут. Вот только стоит она столько, что тот же редис на этой подложке не написать так, чтобы он сносно работал и не требовал на порядок больше железа. А тут да, всё рядом с железом, считать приходится.

1.18, Tron is Whistling (?), 21:24, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Особенно понравилось CVE-2023-36475. Хламокодинг - это сурово.

1.21, Аноним (21), 21:39, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
кто-нибудь еще в это верит?)

2.30, ИмяХ (?), 08:33, 14/07/2023 [^] [^^] [^^^] [ответить]	+/–
Да уже никто в компьютеры не верит. Это всё на самом деле магия.

3.35, Аноним (35), 23:11, 14/07/2023 [^] [^^] [^^^] [ответить]	+/–
Как говорится, не учите физику в школе и ваша жизнь будет наполнена чудесами.

1.23, Аноним (22), 23:50, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>при разборе сервером специально оформленных сообщений STUN Лишь бы Kaitai Struct не использовать.

1.24, Аноним (22), 23:53, 12/07/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Workarounds >Disable remote code execution through the MongoDB BSON parser. В уязвимости виноват не Parse Server, а MongoDB.

2.26, Аноним (26), 08:39, 13/07/2023 [^] [^^] [^^^] [ответить]	+/–
> В уязвимости виноват не Parse Server, а MongoDB. MongoDB BSON parser - это надстройка над MongoDB из состава Parse Server, к самому MongoDB он отношения не имеет.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: