The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo

24.07.2022 16:56

В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках 3.3.15, 4.1.1, 5.1.9 и 5.2.1.

Дополнительно можно отметить уязвимость в Ruby-модуле tzinfo, позволяющую загрузить содержимое любого файла, насколько позволяют права доступа атакуемого приложения. Уязвимость связана с отсутствием должной проверки на использование спецсимволов в имени часового пояса, указываемого в методе TZInfo::Timezone.get. Проблема затрагивает приложения, передающие в TZInfo::Timezone.get непроверенные внешние данные. Например, для чтения файла /tmp/payload можно указать значение, подобное "foo\n/../../../tmp/payload".

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Релиз web-фреймворка Grails 2.0
  3. OpenNews: Критическая 0-day уязвимость в Spring Framework, применяемом во многих Java-проектах
  4. OpenNews: Обновление Ruby 3.0.1 с устранением уязвимостей
  5. OpenNews: Корректирующие выпуски Ruby 3.1.2, 3.0.4, 2.7.6, 2.6.10 с устранением уязвимостей
  6. OpenNews: Уязвимость в RubyGems.org, позволяющая подменить чужие пакеты
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57545-grails
Ключевые слова: grails, tzinfo, ruby, java
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (33) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, erthink (ok), 21:12, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ClassLoader в жабе почти как w32.sys и спулер в масдае - вечное...
     
  • 1.2, ыы (?), 22:07, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tzinfo я так понимаю тянут все кому не лень к себе?
     
  • 1.3, Аноним (3), 22:39, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне кажется или проблема с путями была практически в каждом большом и не очень проекте и на разных языках? Помню точно на перл была, на пыхе, на руби и еще на чем-то (может раст, но не уверен)
     
     
  • 2.4, Аноним (4), 22:45, 24/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    На расте такие косяки это первое дело. Куда ни плюнь, попадёшь. Ты же понимаешь, что дело не в языке, а в поклонниках этого языка. Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.
     
     
  • 3.6, Аноним (6), 00:24, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Покажите хотя бы 5 примеров
     
     
  • 4.16, Аноним (4), 11:14, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Покажите хотя бы 5 примеров

    Напишите хотя бы 5 программ на расте, пока нет ни 1. Недавно в новостях проскакивало, что в поделках как раз эти уязвимости были. "Безопасный" язык, ага.

     
     
  • 5.21, Аноним (6), 12:13, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я Раст не знаю, на работе пишу на java, kotlin и js
     
     
  • 6.24, Аноним (4), 12:20, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, по-сути, ты знаешь только жс и пару его суб/супер сетов. Я не осуждаю, за это платят деньги, только о таких вот уязвимостях в той среде думать не принято. Есть 1000 и один способ уронить жава-приложуху изменениями в системе, иногда с полным разносом всего. Сишные программы как-то более устойчивы, разве что браузеры стремятся навернуться, но тоже понятно, кто их пишет.
     
     
  • 7.27, Аноним (6), 12:33, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Отлично. Абсолютно некомпетентный и самоуверенный opennet эксперт меня не осуждает.
    Я польщена, честно.
     
     
  • 8.29, Аноним (4), 12:36, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну, воспринимай это как хочешь Можешь даже отрицать, что жс с жавой всю свою ис... текст свёрнут, показать
     
  • 3.7, Аноним (6), 00:30, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Очередной opennet эксперт не понимает разницу между java и JavaScript?
     
     
  • 4.15, Аноним (4), 11:12, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    У очередной обезьянки бомбануло? Ну, судя по тому, как ты это написал. Где там хоть слово про жс. На жс вообще пишут те, кто не понимает, что такое чувствительность к регистру символов. Что с них можно спрашивать?
     
     
  • 5.17, another_one (ok), 11:49, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Где там хоть слово про жс.

    Биполярочка?
    > Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

     
     
  • 6.18, Аноним (4), 11:56, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, во-первых, это нарицательное. А вот про жава там ни слова нет, естественно, что я сказал про жс, откуда все эти "программисты" и лезут.
     
  • 5.22, Аноним (6), 12:17, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Открою для opennet эксперта страшную такую. JavaScript регистрозависим
     
     
  • 6.26, Аноним (4), 12:31, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зато жс программисты об этом не знают, в итоге хрен запустишь приложуху на линуксе без костылей.
     
  • 5.25, Аноним (6), 12:24, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что можно спросить с Николауса Вира разработчика регистронечувствительного Паскаля, многих других языков программирования, автора многих книг по программированию, обладателя премии Тьюринга я понимаю.
    А что можно спросить с opennet эксперта?
     
     
  • 6.28, Аноним (4), 12:34, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Опеннет-эксперты  хотя бы пишут софт и понимают какие распространённые косяки сегодня допускают, что позволяет их избежать. А что написал автор пачкаля, да такого, чтобы оно было актуально? Только угробил целые поколения программистов, а ведь из них могло вырасти что-то достойное.
     
     
  • 7.31, Аноним (6), 13:10, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/

    И что вы написали, покажите.
    Даже не сравнимое с Паскалем и Оберон. А просто хоть что то сложнее hello world
     
     
  • 8.32, Аноним (4), 13:34, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неа, не хочу, да и не имеет значения Что имеет значение, это забочусь ли я о бу... текст свёрнут, показать
     
     
  • 9.36, Анонии (?), 17:24, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты путаешь 171 не хочу 187 и 171 не могу 187 Но для пубертата это норма... текст свёрнут, показать
     
     
  • 10.37, Аноним (4), 18:11, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Смотри, такие, как ты только и могут, что прибегать к ad hominem Это о чём-то, ... текст свёрнут, показать
     
  • 3.8, Аноним (8), 02:46, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сразу видно человека не разбирающегося в теме
     
  • 3.11, Аноним (11), 07:59, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чел,Java и Javascript это два совершенно разных языка вообще-то
     
  • 3.12, Герострат (?), 08:50, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот это разрыв
     

  • 1.5, Анончик (?), 00:13, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Удивительно, думал Grails давно помер
     
     
  • 2.13, anonymous (??), 09:21, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как и сам Ruby
     

  • 1.9, Аноним (9), 03:34, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Зачем tzinfo, если есть Rust?

    // b.

     
  • 1.10, Аноним (6), 07:35, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Динамическая загрузка классов из произвольного места, потенциальная уязвимость по определению.
    При этом оно чаще всего не нужно, все классы которых нет в JRE, Gradle и maven добавляют в jar файл
     
     
  • 2.14, 244 (?), 09:32, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Плагины.
     
     
  • 3.33, Аноним (6), 14:21, 25/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Разверните, пожалуйста, вашу мысль более подробно
     
     
  • 4.39, Аноним (39), 23:25, 26/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Коллега аноним пытается сказать, что ПО может поддерживать произвольные плагины по схеме "нашёл что понравилось, скачал из интернетов и положил рядом с программой", а реулизуют такую фичу часто по пути наименьшего сопротивления - просто загружая выполняемый код из файла по указанному пути.
     

  • 1.38, _ (??), 05:50, 26/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Йаимеюспрсить: это сишнаядырень или нет?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру