The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG"  +/
Сообщение от opennews (??), 06-Янв-24, 11:15 
В Perl-модуле Spreadsheet::ParseExcel, предоставляющем функции для разбора файлов в формате Excel, выявлена критическая уязвимость (CVE-2023-7101), позволяющая выполнить произвольный код при обработке файлов  XLS или XLSX, включающих специально оформленные правила форматирования чисел. Уязвимость вызвана использованием при построении вызова "eval" данных, полученных из обрабатываемого файла. Проблема устранена в обновлении Spreadsheet::ParseExcel 0.66. Имеется прототип эксплоита...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60376

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +2 +/
Сообщение от Аноним (-), 06-Янв-24, 11:27 
> Barracuda ESG (Email Security Gateway)

Прикольное название для фигни с выполнением ремотного кода. Возможно, это опечатка и они имели в виду Email InSecurity Gateway?! :)

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 06-Янв-24, 11:51 
Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco. Уже безопасненько.

А исполнение "проверяемых" файлов — у кого из антивирусов этого не было?

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –5 +/
Сообщение от Аноним (14), 06-Янв-24, 13:25 
Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –1 +/
Сообщение от Аноним (7), 06-Янв-24, 13:32 
> Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.

^^^ это сгенерировано либо нейросеткой, либо поехавшим.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –1 +/
Сообщение от Аноним (14), 06-Янв-24, 13:40 
>^^^ это сгенерировано либо нейросеткой, либо поехавшим.

На основании чего ты сделал подобные выводы? Мои выводы основаны на том, что РХ пропихнул свой толстый вендорлок буквально всем (достаточно посмотреть, сколько из проблемных компонентов типичного дистрибутива контролируется им) и уже в открытую занялся пропихиванием сомнительных зависимостей на перле. А шел/перл от редхата это автоматически подразумевает вулны.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 06-Янв-24, 13:54 
> На основании чего ты сделал подобные выводы?

На основании того, что ваши комментарии являются бессвязным бредом.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –2 +/
Сообщение от Аноним (14), 06-Янв-24, 13:59 
Не являются, ограниченность и неосведомлённость отдельных комментаторов может вызывать у тех подобное впечатление. И, если я правильно понял, мейнтейнер сабжа на перлопомойке тоже сотрудник РХ. Он конечно же знал, что в коде вулны с евал. Кто, если не он?
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 06-Янв-24, 14:25 
> Не являются

Докажите.
Попробуйте написать осмысленный текст.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –1 +/
Сообщение от Аноним (33), 06-Янв-24, 18:12 
Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не выглядит естественным.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

35. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (14), 06-Янв-24, 18:22 
> Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не
> выглядит естественным.

Семён, ты совсем не палишься. Твои сложности восприятия информации только твоя проблема.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (33), 06-Янв-24, 19:26 
Не, не угадал
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (14), 06-Янв-24, 19:33 
А может, и угадал, кто знает?
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (33), 06-Янв-24, 18:01 
У вас просто поток контекстуально несвязанных выражений, это даже прочитать сложно
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

31. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (14), 06-Янв-24, 18:04 
> У вас просто поток контекстуально несвязанных выражений

контекст тут был

>содержимое ICMP-пакетов на исполнение

и все предложения связаны с ним

>это даже прочитать сложно

сложность чтения гуманитариями не имеет значения, те, кого эта тема затрагивает -- понимают.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Anonymous1 (?), 08-Янв-24, 11:07 
А эти те, кого эта тема затрагивает - они сейчас с тобой, в твоей комнате?
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (14), 08-Янв-24, 16:43 
> А эти те, кого эта тема затрагивает - они сейчас с тобой,
> в твоей комнате?

Не проецируй. Неспособность понимания контекста и отсутствие абстрактного мышления сигнализируют либо о серьёзных отклонениях, либо об исключительно низком уровне интеллекта.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (33), 06-Янв-24, 17:59 
Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуда даже по сети никуда сходить нельзя. Такие проблемы не должны приводить к большим проблемам, кроме получения ложного результата проверки вложения.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

47. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 07-Янв-24, 02:26 
Это было про локальные антивирусы, которые на компах стоят.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +9 +/
Сообщение от Шарп (ok), 06-Янв-24, 11:32 
Наличие в коде eval и аналогов это признак говнокода.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +2 +/
Сообщение от ИмяХ (ok), 06-Янв-24, 12:02 
Наличие в языке eval и аналогов это признак гoвнoязыка.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от YetAnotherOnanym (ok), 06-Янв-24, 12:17 
Ага, а наличие лезвия - признак говноинструмента.
Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука, использовать его проще, чем подвязать сишную либу и дёргать функции в ней. Но когдв речь идёт о недоверенных данных из внешнего источника - тут за eval надо бить по рукам.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 06-Янв-24, 12:36 
>  Ага, а наличие лезвия - признак говноинструмента.

Если оно находится на рукояти в месте хвата — несомненно.

> Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука

Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (7), 06-Янв-24, 12:44 
> Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.

Но лучше, конечно, сделать всё для минимизации вероятности подобного исхода: скрипт — стереть, автора — перевести в дворники.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от _ (??), 06-Янв-24, 20:44 
Людям свойственно ошибаться. (С)

Так что ошибку - поправят, автору дадут небольшую премию за исправление кода, тысяч в 5 долариков и всех то дел!
И только школота на опенете будет "переводить в дворники" пока мамка борщ есть не позвала :)

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (7), 07-Янв-24, 02:23 
> Людям свойственно ошибаться. (С)

Использование eval — это не ошибка, а намеренное вредительство.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от man perlfunc разрешил (?), 07-Янв-24, 19:20 
Если только строчного.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 19:51 
Ага. Сотри.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

59. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 20:06 
Если ты видишь рукоять там, где расположено лезвие, то тебе определённо не следует прикасаться ни к какому инструменту.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

32. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (33), 06-Янв-24, 18:07 
В таком сценарии можешь написать эти же функции в виде либы или модуля и заносить в код как положено, а не через задницу. Код и данные должны быть отдельно.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

41. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от _ (??), 06-Янв-24, 20:45 
А ещё на земле не должно быть войн, болезней и неравенства.
Я в курсе как должно, теперь ты в курсе как оно на смом деле :-D
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (28), 06-Янв-24, 17:50 
Отсутствие eval - признак статического языка, не более. В динамических он должен быть.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

54. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (54), 07-Янв-24, 17:43 
про это и намек, что статические языки рулят)
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +2 +/
Сообщение от crypt (ok), 06-Янв-24, 12:59 
Я его слепила из того, что было. Коммерческий продукт страдает от использования noname opensource компонентов.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  –1 +/
Сообщение от лютый жабби.... (?), 06-Янв-24, 13:51 
>Коммерческий продукт страдает от использования noname opensource компонентов.

ну, это нормально (в смысле типично). архитектора конечно на мыло, в 2024м году использовать перловку, вместо божественной жабки и apache poi

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (7), 06-Янв-24, 13:55 
На жабку у них не хватило памяти :(
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (23), 06-Янв-24, 14:42 
Жабку на встроенном девайсе? Петончег же.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

25. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (25), 06-Янв-24, 15:09 
Ну уж нет уже пора игогошечку.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (33), 06-Янв-24, 18:21 
Здесь нужно использовать python, lua или нечто подобное. perl взяли, вероятно, потому что вместо разработки собственного движка начали допиливать какой-нибудь Spamassassin
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

42. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от _ (??), 06-Янв-24, 20:55 
>какой-нибудь Spamassassin

Там не только SA - там вся колбаса была куплена у одной канадской фирмы в 2к-десятых. Видимо радикально переделать - дорого, ну вот и ... IronPort-ы там же паслись, так что смотрите за апдейтами :)

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от rvs2016 (ok), 06-Янв-24, 13:50 
> Проблема устранена в обновлении
> Spreadsheet::ParseExcel 0.66.

Когда это обновление к нашим завезут?
А то у наших пока версия 0.65_2,1:

% pkg search p5-Spreadsheet-ParseExcel
p5-Spreadsheet-ParseExcel-0.65_2,1 Get information from Excel file

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (28), 06-Янв-24, 17:38 
На цпане огромное количество модулей с плохим качеством кода. Все надо вычитывать.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (38), 06-Янв-24, 20:07 
>eval

Не уязвимость, а бэкдор. То, что eval запрещено использовать, знают все.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (53), 07-Янв-24, 15:05 
Вам кто-то запретил, вот и не используйте.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +2 +/
Сообщение от Аноним (55), 07-Янв-24, 17:59 
>Не уязвимость, а бэкдор

https://siliconangle.com/2023/12/28/barracuda-patches-email-.../

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

39. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +3 +/
Сообщение от Анонимemail (39), 06-Янв-24, 20:40 
В js постоянно жуткие баги в npm находят и норм, а тут за что лет один баг на перле и набежало хейтеров...
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от ку (?), 07-Янв-24, 19:23 
неосиляторы, сэр. комплексы. и ещё этот чортов утёнок.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (60), 07-Янв-24, 21:25 
Думаю, просто разработки на js ведётся на порчдок больше чем на perl
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

48. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Tron is Whistling (?), 07-Янв-24, 09:41 
Пппппппц. Эвал для разбора форматирования - это высший пилотаж, за который вот это вот стоило бы вынести из репозитария вместе с авторами, и никогда больше не пускать.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Tron is Whistling (?), 07-Янв-24, 09:42 
А так - ну, очередное подтверждение тому, что все хламорепозитарии - зло.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Аноним (50), 07-Янв-24, 11:38 
9.5 лет прошло с момента предыдущего обновления модуля.

Revision history for Perl module Spreadsheet::ParseExcel.

0.66 December 29 2023

    ! Fix for CVE-2023-7101
      https://github.com/runrig/spreadsheet-parseexcel/issues/33

0.65 March 15 2014
    ! Merge support for accessing hyperlink data

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +1 +/
Сообщение от Аноним (53), 07-Янв-24, 14:59 
9.5 лет написанный код работал без необходимости постоянно спички вставлять.
Вам такое и не снилось.
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Шарп (ok), 08-Янв-24, 12:06 
9.5 лет работал бекдор. Вам такое и не снилось.


Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Tron is Whistling (?), 07-Янв-24, 11:45 
А, то есть оно уже ещё и тухлое. Ну, классика cpan'о-пипо-npm'ов, да.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от Liin (ok), 08-Янв-24, 13:10 
За eval в коде надо бить, возможно, даже ногами. Это ж просто бомба замедленного действия.
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от PnD (??), 09-Янв-24, 16:28 
В обработке "внешних" данных — да.
В привилегированных конфигураторах — нет. (Чем всякие DSL бессовестно пользуются. И неважно как это называется.)
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."  +/
Сообщение от anonymous (??), 09-Янв-24, 01:24 
ESG же это Environment, Sustainability, and Governance.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру