Уязвимость в Glibc, эксплуатируемая через скрипты на PHP

0

2

В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2024-2961), приводящая к переполнению буфера при преобразовании специально оформленных строк в кодировке ISO-2022-CN-EXT функцией iconv(). Выявивший проблему исследователь планирует 10 мая выступить на конференции OffensiveCon с докладом, в анонсе которого упоминается возможность эксплуатации уязвимости через приложения на языке PHP. Заявлено, что проблема затрагивает всю экосистему PHP и некоторые приложения.

Уязвимость проявляется с 2000 года и устранена в находящейся в разработке ветке Glibc 2.40. Исправление также доступно в виде патчей для выпусков Glibc с 2.32 по 2.39. В дистрибутивах проследить за исправлением уязвимости можно на страницах: Debian, Ubuntu, Gentoo, RHEL, SUSE, Fedora, Arch.

https://www.opennet.ru/opennews/art.shtml?num=61033

Ссылка

←	Тест китайского CPU в составе китайского ПК (Loongson)

Вы так ничего и не знаете, а там винда11 продолжает сливать убунте

→

Несмотря на то, что эксплуатация подобной уязвимости для выполнения кода кажется маловероятной, по заявлению выявившего проблему исследователя этого оказалось достаточно для подготовки нескольких прототипов эксплоитов для удалённой атаки на PHP-приложения, приводящей к выполнению кода.

Ygor ★★★★★
(21.04.24 11:21:38 MSK) автор топика

Ссылка

это второй раз когда у меня проблемы Glibc с кодировками, может плюнуть на локали и кодировки и строки считать набором байт и не пытатся их както интерпретировать как тот же musl делает?

s-warus ★★★
(21.04.24 11:25:24 MSK)

Ссылка

Ну и как после этого слушать мнения о ненужности rust?

Manhunt ★★★★★
(21.04.24 11:26:06 MSK)

musl, baby

spbzip
(21.04.24 11:33:50 MSK)

Ответ на: комментарий от spbzip 21.04.24 11:33:50 MSK

CVE-2020-28928 In musl libc through 1.2.1, wcsnrtombs mishandles particular combinations of destination buffer size and source character limit, as demonstrated by an invalid write access (buffer overflow).

Manhunt ★★★★★
(21.04.24 11:35:18 MSK)

Ответ на: комментарий от Manhunt 21.04.24 11:35:18 MSK

why, baby?

spbzip
(21.04.24 11:36:29 MSK)

Ссылка

Ответ на: комментарий от Manhunt 21.04.24 11:26:06 MSK

https://www.opennet.ru/opennews/art.shtml?num=56551

Соринка != бревно.
Бревно != соринка.

u5er ★★
(21.04.24 11:37:36 MSK)

Ответ на: комментарий от u5er 21.04.24 11:37:36 MSK

По твоей ссылке рассказ про уязвимость из серии https://en.wikipedia.org/wiki/Time-of-check_to_time-of-use

А тред про уязвимость из-за некорректной работы с памятью. Именно такие уязвимости количественно доминируют среди всего, что выявляется в современном ПО.

Имеем очередную дырку в ключевой системной библиотеке. Дырку, которая оставалась незамеченной на протяжении 24 лет, расползлась по всему земному шару. Дырку, которой могло бы не быть, если бы это была не сишка, а растишка..

Manhunt ★★★★★
(21.04.24 11:44:25 MSK)
Последнее исправление: Manhunt 21.04.24 11:47:29 MSK (всего исправлений: 2)

Ответ на: комментарий от Manhunt 21.04.24 11:44:25 MSK

Знаешь, почему раст самый безопасный и в нём не существует уязвимостей? Потому, что если баг в коде на си, то это сишная дырень, а если на расте - то логическая ошибка.

u5er ★★
(21.04.24 11:48:52 MSK)

Ответ на: комментарий от u5er 21.04.24 11:48:52 MSK

Уязвимостей в коде на расте полным-полно, разумеется. Но вот самый популярный класс уязвимостей - ошибки при работе с памятью - растишка позволяет исключить, при желании.

Manhunt ★★★★★
(21.04.24 11:55:08 MSK)

Ответ на: комментарий от Manhunt 21.04.24 11:55:08 MSK

Почитай методички - уязвимостей на расте не бывает! Там только логические ошибки!

https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rust-vmm-sys-util-cve-2023-50711/

u5er ★★
(21.04.24 11:58:00 MSK)

Охренеть.

wandrien ★★
(21.04.24 11:58:51 MSK)

Ссылка

ША-ПИ-ТО.

token_polyak ★★★★★
(21.04.24 12:05:25 MSK)

Ссылка

Ответ на: комментарий от u5er 21.04.24 11:58:00 MSK

https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-rust-vmm-sys-...

Угу, unsafe код

Manhunt ★★★★★
(21.04.24 12:06:43 MSK)

Ответ на: комментарий от Manhunt 21.04.24 11:44:25 MSK

Фанатики раста совсем поехали.

Представил себе, как в 1987-м «ключевую системную библиотеку» писали на расте. Ага.

wandrien ★★
(21.04.24 12:12:09 MSK)

Ответ на: комментарий от Manhunt 21.04.24 12:06:43 MSK

Знаешь, почему я буду злорадствовать? Потому что, во-1, про раст жужжат из каждого утюга и это маленько раздражает, да, а во-2, я считаю, что раст именно пропихивают. Например, потому, что есть языки, типа ада. Где-то я слышал заявление, что мол ада плохо подходит для прикладного программирования, но аргументов не было приведено. Возможно, если местные растофанатики соизволят дать развёрнутый ответ по этому поводу?

u5er ★★
(21.04.24 12:13:42 MSK)

Ответ на: комментарий от u5er 21.04.24 12:13:42 MSK

Например, потому, что есть языки, типа ада

И как, ты уже пишешь на аде или так и продолжаешь плодить сишные дырени?

moonmadness ★
(21.04.24 13:42:17 MSK)

Ответ на: комментарий от moonmadness 21.04.24 13:42:17 MSK

Конечно сишные дырени! Если переписать всё на расте, то форумные тролли сдохнут с голоду! Я что, изверг по-твоему что ли? 0_0

А если серьёзно, то раньше я писал на сишке. Потом уже узнал про аду, но пока идей для программирования нет, так что сейчас я вообще ни на чём не пишу.

u5er ★★
(21.04.24 13:55:23 MSK)

Заявлено, что проблема затрагивает всю экосистему PHP

PHP — ненужно уже лет дцать.

dennet
(21.04.24 14:47:45 MSK)

Весь цимес в том, что если бы это была стандартная библиотека плюсов и речь шла о уязвимости кода, написанного по последнему писку моды (c++23, всё по гайдлайнам Страуструпа, плюс статические анализаторы), то да, можно было бы сказать, типа а могли бы взять Раст.

Но тут сишка и ПХП. И как бы сам факт того, что уязвимости почти 25 лет, и её только недавно закрыли, говорит, что это неуловимый Джо, и аргумент с растишкой не в кассу. Тем более, что 25 лет назад не то что растишки не было, плюсы ещё не прочно на ногах стояли.

seiken ★★★★★
(21.04.24 19:34:25 MSK)

Ответ на: комментарий от u5er 21.04.24 12:13:42 MSK

Где-то я слышал заявление, что мол ада плохо подходит для прикладного программирования, но аргументов не было приведено

Сто раз уже этот вопрос задавался в сети, и сто раз был дан ответ.

seiken ★★★★★
(21.04.24 19:42:57 MSK)
Последнее исправление: seiken 21.04.24 19:50:55 MSK (всего исправлений: 1)

Ответ на: комментарий от u5er 21.04.24 13:55:23 MSK

А если серьёзно, то раньше я писал на сишке. Потом уже узнал про аду, но пока идей для программирования нет, так что сейчас я вообще ни на чём не пишу

Эх, ну как же так? Каждый раз, когда слышишь о новой вундервафле в мире ЯП, ожидаешь услышать саксесс сториз, как смог с помощью неё создать более качественный продукт или как смог оптимизировать зарплаты, уволив половину программистов. А там оказывается, либо самопиар, либо Джаст фор фан…

seiken ★★★★★
(21.04.24 19:46:02 MSK)

Ссылка

Ответ на: комментарий от seiken 21.04.24 19:42:57 MSK

Развёрнутого с аргументами не находил.

u5er ★★
(21.04.24 19:58:09 MSK)

Ответ на: комментарий от u5er 21.04.24 19:58:09 MSK

Ну спроси хотя бы у GPT

seiken ★★★★★
(21.04.24 20:37:28 MSK)

Ответ на: комментарий от seiken 21.04.24 20:37:28 MSK

Ну вот я об этом и говорю. Везде только заявления, а аргументов по делу нет ;)

u5er ★★
(21.04.24 20:42:14 MSK)

Ответ на: комментарий от u5er 21.04.24 20:42:14 MSK

Тогда давай своё определение «аргумента».

seiken ★★★★★
(21.04.24 20:46:15 MSK)

Ответ на: комментарий от seiken 21.04.24 20:46:15 MSK

То есть ты серьёзно считаешь, что ответы в духе

Сто раз уже этот вопрос задавался в сети, и сто раз был дан ответ.

Ну спроси хотя бы у GPT

считаются развёрнутыми ответами на вопрос «зачем изобретать безопасный яп, если есть, например, ада?»? Ты явно на приколе :)

u5er ★★
(21.04.24 21:01:38 MSK)

Ответ на: комментарий от u5er 21.04.24 21:01:38 MSK

Ну т.е. определения «аргумент» не будет, а тебе просто скучно, и хочется с кем-то поболтать?

seiken ★★★★★
(21.04.24 21:28:13 MSK)

Ответ на: комментарий от seiken 21.04.24 21:28:13 MSK

Ну т.е. определения «аргумент» не будет

Ровно как и ответа на мой вопрос. По карейней мере, мне так кажется.

а тебе просто скучно, и хочется с кем-то поболтать?

Как будто что-то плохое :) Форумы в том числе служат и для общения тоже, верно?

u5er ★★
(21.04.24 21:44:16 MSK)

Ссылка

Ответ на: комментарий от seiken 21.04.24 20:46:15 MSK

«аргумент», оно же «говно» - определение набора колюще-режущего инструментария в разборке джунов, общеизвестно, что сеньеры приходят на такие разборки с огнестрельными аргументами.

Anoxemian ★★★★★
(21.04.24 21:51:36 MSK)

Ссылка

Ответ на: комментарий от wandrien 21.04.24 12:12:09 MSK

Фанатики раста

А вот это было обидно. К расту в его нынешнем виде я скорее скептически отношусь (но гораздо лучше, чем к Си и к С++, с их ворохом проблем). Слишком много дрочки вокруг лайфтаймов, код замусорен ими (как если бы кому-то не хватало дрочки вокруг системы типов c/c++).

Представил себе, как в 1987-м «ключевую системную библиотеку» писали на расте

Лучше представь параллельную реальность, где вместо сишки повсеместно используется растишка. Лучше было бы, или хуже?

Manhunt ★★★★★
(22.04.24 00:36:27 MSK)
Последнее исправление: Manhunt 22.04.24 00:47:25 MSK (всего исправлений: 6)

Ссылка

Ответ на: комментарий от u5er 21.04.24 12:13:42 MSK

я считаю, что раст именно пропихивают

Пропихивают, можно не сомневаться. Есть заинтересанты, которые несут заметные издержки из-за уязвимостей. И хотели бы эти издержки подснизить.

Manhunt ★★★★★
(22.04.24 00:39:54 MSK)

Ссылка

Ответ на: комментарий от seiken 21.04.24 19:34:25 MSK

Но тут сишка и ПХП. И как бы сам факт того, что уязвимости почти 25 лет, и её только недавно закрыли, говорит, что это неуловимый Джо

Удалённое выполнение кода - это нифига не «неуловимый Джо». И откуда уверенность, что оно ни на чём кроме пыха не выстрелит? А то, что нашли только сейчас, говорит о том, что выявлять нифига не просто.

Manhunt ★★★★★
(22.04.24 00:46:11 MSK)