forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..."
Отправлено opennews, 08-Янв-17 12:49

В GitHub Enterprise (https://enterprise.github.com/home), варианте GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании, выявлена (http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-s...) уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный SQL-код на сервере.

В описании уязвимости приводится заслуживающий внимания рассказ об организации работы кода GitHub Enterprise, который во многом пересекается с кодом публичного сервиса GitHub. Пакет поставляется в виде образа виртуальной машины, доступной для бесплатного ознакомительного  использования в течение 45 дней. Исходные тексты скрыты и поставляются в упакованном виде, напоминающем зашифрованный набор данных. Прозрачная распаковка в момент выполнения осуществляется при помощи библиотеки ruby_concealer.so, анализ которой показал для метод упаковки сводится к сжатию кода при помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом.

После распаковки было выяснено, что большая часть кода написана на языке Ruby с использованием фреймворков Ruby on Rails и Sinatra, но также применяются компоненты на Python, Bourne Shell, C++ и Java. По мнению исследователя безопасности, код отвечающий за работу web-сервисов основан на реальной кодовой базе github.com, gist.github.com, render.githubusercontent.com и api.github.com.  Получив доступ к коду исследователь, до этого не имевший дело c языком Ruby, потратил всего четыре дня на поиск возможных уязвимостей и выявил проблему в обработчике PreReceiveHookTarget, позволяющую осуществить подстановку SQL-кода через передачу специально оформленных данных через параметр  "sort", отправив запрос к общедоступному Web API.
   $ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
   'https://192.168.187.145/api/v3/organizations/1/pre-receive-h...,(select+1+from+information_schema.tables+limit+1,1)'
   $ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \
   'https://192.168.187.145/api/v3/organizations/1/pre-receive-h...,if(user()="github@localhost",sleep(5),user())'

GitHub был уведомлен о проблеме в конце декабря и устранил уязвимость в  выпуске GitHub Enterprise 2.8.5. Выявившему уязвимость исследователю выплачено вознаграждение в размере 5 тысяч долларов США.
URL: http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-s...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45825

Исходное сообщение
"Уязвимость, позволяющая осуществить подстановку SQL-кода в G..." Отправлено opennews, 08-Янв-17 12:49
В GitHub Enterprise (https://enterprise.github.com/home), варианте GitHub для предприятий, позволяющем развернуть окружение для совместной разработки внутри корпоративной сети на подконтрольном оборудовании, выявлена (http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-s...) уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный SQL-код на сервере. В описании уязвимости приводится заслуживающий внимания рассказ об организации работы кода GitHub Enterprise, который во многом пересекается с кодом публичного сервиса GitHub. Пакет поставляется в виде образа виртуальной машины, доступной для бесплатного ознакомительного использования в течение 45 дней. Исходные тексты скрыты и поставляются в упакованном виде, напоминающем зашифрованный набор данных. Прозрачная распаковка в момент выполнения осуществляется при помощи библиотеки ruby_concealer.so, анализ которой показал для метод упаковки сводится к сжатию кода при помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом. После распаковки было выяснено, что большая часть кода написана на языке Ruby с использованием фреймворков Ruby on Rails и Sinatra, но также применяются компоненты на Python, Bourne Shell, C++ и Java. По мнению исследователя безопасности, код отвечающий за работу web-сервисов основан на реальной кодовой базе github.com, gist.github.com, render.githubusercontent.com и api.github.com. Получив доступ к коду исследователь, до этого не имевший дело c языком Ruby, потратил всего четыре дня на поиск возможных уязвимостей и выявил проблему в обработчике PreReceiveHookTarget, позволяющую осуществить подстановку SQL-кода через передачу специально оформленных данных через параметр "sort", отправив запрос к общедоступному Web API. $ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \ 'https://192.168.187.145/api/v3/organizations/1/pre-receive-h...,(select+1+from+information_schema.tables+limit+1,1)' $ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \ 'https://192.168.187.145/api/v3/organizations/1/pre-receive-h...,if(user()="github@localhost",sleep(5),user())' GitHub был уведомлен о проблеме в конце декабря и устранил уязвимость в выпуске GitHub Enterprise 2.8.5. Выявившему уязвимость исследователю выплачено вознаграждение в размере 5 тысяч долларов США. URL: http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-s... Новость: https://www.opennet.ru/opennews/art.shtml?num=45825

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В GitHub Enterprise (https://enterprise.github.com/home), варианте GitHub для предприятий, 
> позволяющем развернуть окружение для совместной разработки внутри корпоративной сети 
> на подконтрольном оборудовании, выявлена (http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-sql-injection.html) 
> уязвимость, позволяющая через отправку специально оформленного запроса выполнить произвольный 
> SQL-код на сервере.

> В описании уязвимости приводится заслуживающий внимания рассказ об организации работы 
> кода GitHub Enterprise, который во многом пересекается с кодом публичного сервиса 
> GitHub. Пакет поставляется в виде образа виртуальной машины, доступной для бесплатного 
> ознакомительного  использования в течение 45 дней. Исходные тексты скрыты и 
> поставляются в упакованном виде, напоминающем зашифрованный набор данных. Прозрачная 
> распаковка в момент выполнения осуществляется при помощи библиотеки ruby_concealer.so, 
> анализ которой показал для метод упаковки сводится к сжатию кода при 
> помощи Zlib::Inflate::inflate и применению операции XOR с предопределённым ключом.

> После распаковки было выяснено, что большая часть кода написана на языке Ruby 
> с использованием фреймворков Ruby on Rails и Sinatra, но также применяются 
> компоненты на Python, Bourne Shell, C++ и Java. По мнению исследователя 
> безопасности, код отвечающий за работу web-сервисов основан на реальной кодовой базе 
> github.com, gist.github.com, render.githubusercontent.com и api.github.com.  Получив 
> доступ к коду исследователь, до этого не имевший дело c языком 
> Ruby, потратил всего четыре дня на поиск возможных уязвимостей и выявил 
> проблему в обработчике PreReceiveHookTarget, позволяющую осуществить подстановку SQL-кода 
> через передачу специально оформленных данных через параметр  "sort", отправив запрос 
> к общедоступному Web API.

>    $ curl -k -H 'Accept:application/vnd.github.eye-scream-preview' \ 
>    'https://192.168.187.145/api/v3/organizations/1/pre-receive-hooks?access_token=????????&sort=id,(select+1+from+information_schema.tables+limit+1,1)'

> GitHub был уведомлен о проблеме в конце декабря и устранил уязвимость в 
>  выпуске GitHub Enterprise 2.8.5. Выявившему уязвимость исследователю выплачено вознаграждение 
> в размере 5 тысяч долларов США.

> URL: http://blog.orange.tw/2017/01/bug-bounty-github-enterprise-sql-injection.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45825

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру