Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

16 популярных сторонних библиотек для парсинга URL страдают от серьёзных проблем в безопасности. Эти восемь уязвимостей, по мнению экспертов, могут затрагивать множество современных веб-приложений.

Выявленные бреши могут привести к DoS, утечкам информации и даже удалённому выполнению кода (RCE) в различных приложениях. Баги обнаружились в сторонних пакетах, которые потенциально могли импортировать в сотни или даже тысячи веб-приложений и проектов.

Например, среди затронутого софта исследователи выделили Flask (написанный на Python фреймворк), Video.js (HTML5-видеоплеер), Belledonne (бесплатная VoIP и IP-телефония), Nagios XI (софт для мониторинга сети) и Clearance (парольная аутентификация на Ruby).

URL-парсинг представляет собой процесс разбивки веб-адреса на ключевые компоненты. Это нужно для того, чтобы трафик направлялся корректно между серверами и различными ссылками. Предназначенные для этого библиотеки, как правило, импортируются в приложения, чтобы обеспечить им описанные выше возможности.

«URL обычно состоят из пяти основных компонентов: схема, путь, запрос и фрагмент. Каждый из этих компонентов выполняет свою задачу», — пишут в отчёте специалисты Claroty Team82.

 

Согласно анализу экспертов, уязвимости возникли благодаря различиям в методе каждой библиотеки. Исследователи изучили в совокупности 16 различных библиотек, среди которых можно отметить urllib (Python), urllib3 (Python), rfc3986 (Python), httptools (Python), curl lib (cURL), Wget, Chrome (Browser), Uri (.NET), URL (Java), URI (Java), parse_url (PHP), url (NodeJS), url-parse (NodeJS), net/url (Go), uri (Ruby) и URI (Perl).

В ходе анализа специалисты выявили пять категорий несоответствий в методе парсинга компонентов: Scheme Confusion, Slash Confusion, Backslash Confusion, URL Encoded Data Confusion, Scheme Mix-ups. Проблема в том, что такие несоответствия могут создать уязвимые блоки кода.

Например, «slash confusion» может привести к появлению багов класса SSRF, а их уже злоумышленник может использовать для выполнения удалённого кода. Оказалось, что разные библиотеки для парсинга URL по-разному обрабатывают ссылки с большим количеством слешей: кто-то игнорирует дополнительный слеш, кто-то передаёт URL без хоста.

В общей сложности исследователи выделили восемь потенциальных уязвимостей в сторонних веб-приложениях. Их список выглядит так:

  1. Открытый редирект Flask-security (Python, CVE-2021-23385)
  2. Открытый редирект Flask-security-too (Python, CVE-2021-32618)
  3. Открытый редирект Flask-User (Python, CVE-2021-23401)
  4. Открытый редирект Flask-unchained (Python, CVE-2021-23393)
  5. Belledonne’s SIP Stack null pointer dereference (DoS) (C, CVE-2021-33056)
  6. Межсайтовый скриптинг Video.js (XSS) (JavaScript, CVE-2021-23414)
  7. Открытый редирект Nagios XI (PHP, CVE-2021-37352)
  8. Открытый редирект Clearance (Ruby, CVE-2021-23435)

Зарплаты и пенсии не загонят в цифровой рубль, заявила Набиуллина

Глава Банка России Эльвира Набиуллина попыталась сбить градус паники вокруг цифрового рубля. По её словам, страшилки о том, что всех бюджетников и пенсионеров якобы переведут на новую форму денег принудительно, — это абсурд.

В разговоре с журналисткой Наилей Аскер-заде на полях Финансового конгресса ЦБ в Санкт-Петербурге Набиуллина признала, что вокруг цифрового рубля действительно много мифов. Но, по её словам, так бывает почти с любой новой финансовой технологией.

Глава ЦБ напомнила, что похожие опасения когда-то возникали вокруг карт «Мир» и Системы быстрых платежей. Сейчас, как отметила Набиуллина, люди уже активно пользуются этими инструментами и ценят их удобство.

Главный тезис регулятора — цифровой рубль не должен стать обязаловкой. Пользователь сможет сам выбрать, в какой форме получать деньги: наличными, на обычный банковский счёт или в цифровых рублях.

«У вас будет выбор пользоваться или не пользоваться цифровым рублём», — подчеркнула Набиуллина.

По её словам, у Банка России нет задачи просто насыпать побольше цифровых рублей в экономику ради красивой статистики. Новый инструмент должен применяться там, где он действительно будет востребован.

ЦБ видит потенциал цифрового рубля прежде всего в расчетах бизнеса и международных платежах. При этом регулятор хочет сделать инструмент понятным, удобным и выгодным как для граждан, так и для компаний.

RSS: Новости на портале Anti-Malware.ru