Уязвимости в web-фреймворке Grails и Ruby-модуле TZInfo

24.07.2022 16:56

В web-фреймворке Grails, предназначенном для разработки web-приложений в соответствии с парадигмой MVC на Java, Groovy и на других языках для JVM, выявлена уязвимость, позволяющая удалённо выполнить свой код в окружении, в котором выполняется web-приложение. Эксплуатация уязвимости производится через отправку специально оформленного запроса, предоставляющего атакующему доступ к ClassLoader. Проблема вызвана недоработкой в логике привязки данных (data-binding), которая используется как при создании объектов, так и при ручной привязке при помощи bindData. Проблема устранена в выпусках 3.3.15, 4.1.1, 5.1.9 и 5.2.1.

Дополнительно можно отметить уязвимость в Ruby-модуле tzinfo, позволяющую загрузить содержимое любого файла, насколько позволяют права доступа атакуемого приложения. Уязвимость связана с отсутствием должной проверки на использование спецсимволов в имени часового пояса, указываемого в методе TZInfo::Timezone.get. Проблема затрагивает приложения, передающие в TZInfo::Timezone.get непроверенные внешние данные. Например, для чтения файла /tmp/payload можно указать значение, подобное "foo\n/../../../tmp/payload".

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/57545-grails

Ключевые слова: grails, tzinfo, ruby, java

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, erthink (ok), 21:12, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ClassLoader в жабе почти как w32.sys и спулер в масдае - вечное...

1.2, ыы (?), 22:07, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
tzinfo я так понимаю тянут все кому не лень к себе?

1.3, Аноним (3), 22:39, 24/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Мне кажется или проблема с путями была практически в каждом большом и не очень проекте и на разных языках? Помню точно на перл была, на пыхе, на руби и еще на чем-то (может раст, но не уверен)

2.4, Аноним (4), 22:45, 24/07/2022 [^] [^^] [^^^] [ответить]	+4 +/–
На расте такие косяки это первое дело. Куда ни плюнь, попадёшь. Ты же понимаешь, что дело не в языке, а в поклонниках этого языка. Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

3.6, Аноним (6), 00:24, 25/07/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Покажите хотя бы 5 примеров

4.16, Аноним (4), 11:14, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
> Покажите хотя бы 5 примеров Напишите хотя бы 5 программ на расте, пока нет ни 1. Недавно в новостях проскакивало, что в поделках как раз эти уязвимости были. "Безопасный" язык, ага.

5.21, Аноним (6), 12:13, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Я Раст не знаю, на работе пишу на java, kotlin и js

6.24, Аноним (4), 12:20, 25/07/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Ну, по-сути, ты знаешь только жс и пару его суб/супер сетов. Я не осуждаю, за это платят деньги, только о таких вот уязвимостях в той среде думать не принято. Есть 1000 и один способ уронить жава-приложуху изменениями в системе, иногда с полным разносом всего. Сишные программы как-то более устойчивы, разве что браузеры стремятся навернуться, но тоже понятно, кто их пишет.

7.27, Аноним (6), 12:33, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Отлично. Абсолютно некомпетентный и самоуверенный opennet эксперт меня не осуждает. Я польщена, честно.

8.29, Аноним (4), 12:36, 25/07/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Ну, воспринимай это как хочешь Можешь даже отрицать, что жс с жавой всю свою ис... текст свёрнут, показать

3.7, Аноним (6), 00:30, 25/07/2022 [^] [^^] [^^^] [ответить]	+4 +/–
Очередной opennet эксперт не понимает разницу между java и JavaScript?

4.15, Аноним (4), 11:12, 25/07/2022 [^] [^^] [^^^] [ответить]	–2 +/–
У очередной обезьянки бомбануло? Ну, судя по тому, как ты это написал. Где там хоть слово про жс. На жс вообще пишут те, кто не понимает, что такое чувствительность к регистру символов. Что с них можно спрашивать?

5.17, another_one (ok), 11:49, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
> Где там хоть слово про жс. Биполярочка? > Нехрен лезть со своими шаваскриптами в программирование приложух, оставайтесь в вебе.

6.18, Аноним (4), 11:56, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Ну, во-первых, это нарицательное. А вот про жава там ни слова нет, естественно, что я сказал про жс, откуда все эти "программисты" и лезут.

5.22, Аноним (6), 12:17, 25/07/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Открою для opennet эксперта страшную такую. JavaScript регистрозависим

6.26, Аноним (4), 12:31, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Зато жс программисты об этом не знают, в итоге хрен запустишь приложуху на линуксе без костылей.

5.25, Аноним (6), 12:24, 25/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Что можно спросить с Николауса Вира разработчика регистронечувствительного Паскаля, многих других языков программирования, автора многих книг по программированию, обладателя премии Тьюринга я понимаю. А что можно спросить с opennet эксперта?

6.28, Аноним (4), 12:34, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Опеннет-эксперты хотя бы пишут софт и понимают какие распространённые косяки сегодня допускают, что позволяет их избежать. А что написал автор пачкаля, да такого, чтобы оно было актуально? Только угробил целые поколения программистов, а ведь из них могло вырасти что-то достойное.

7.31, Аноним (6), 13:10, 25/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
И что вы написали, покажите. Даже не сравнимое с Паскалем и Оберон. А просто хоть что то сложнее hello world

8.32, Аноним (4), 13:34, 25/07/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Неа, не хочу, да и не имеет значения Что имеет значение, это забочусь ли я о бу... текст свёрнут, показать

9.36, Анонии (?), 17:24, 25/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Ты путаешь 171 не хочу 187 и 171 не могу 187 Но для пубертата это норма... текст свёрнут, показать

10.37, Аноним (4), 18:11, 25/07/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Смотри, такие, как ты только и могут, что прибегать к ad hominem Это о чём-то, ... текст свёрнут, показать

3.8, Аноним (8), 02:46, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Сразу видно человека не разбирающегося в теме

3.11, Аноним (11), 07:59, 25/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Чел,Java и Javascript это два совершенно разных языка вообще-то

3.12, Герострат (?), 08:50, 25/07/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Вот это разрыв

1.5, Анончик (?), 00:13, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Удивительно, думал Grails давно помер

2.13, anonymous (??), 09:21, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Как и сам Ruby

1.9, Аноним (9), 03:34, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Зачем tzinfo, если есть Rust? // b.

1.10, Аноним (6), 07:35, 25/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Динамическая загрузка классов из произвольного места, потенциальная уязвимость по определению. При этом оно чаще всего не нужно, все классы которых нет в JRE, Gradle и maven добавляют в jar файл

2.14, 244 (?), 09:32, 25/07/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Плагины.

3.33, Аноним (6), 14:21, 25/07/2022 [^] [^^] [^^^] [ответить]	+/–
Разверните, пожалуйста, вашу мысль более подробно

4.39, Аноним (39), 23:25, 26/07/2022 [^] [^^] [^^^] [ответить]	+/–
Коллега аноним пытается сказать, что ПО может поддерживать произвольные плагины по схеме "нашёл что понравилось, скачал из интернетов и положил рядом с программой", а реулизуют такую фичу часто по пути наименьшего сопротивления - просто загружая выполняемый код из файла по указанному пути.

1.38, _ (??), 05:50, 26/07/2022 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Йаимеюспрсить: это сишнаядырень или нет?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: