Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

Баги в библиотеках для парсинга URL грозят DoS, утечками данных и RCE

16 популярных сторонних библиотек для парсинга URL страдают от серьёзных проблем в безопасности. Эти восемь уязвимостей, по мнению экспертов, могут затрагивать множество современных веб-приложений.

Выявленные бреши могут привести к DoS, утечкам информации и даже удалённому выполнению кода (RCE) в различных приложениях. Баги обнаружились в сторонних пакетах, которые потенциально могли импортировать в сотни или даже тысячи веб-приложений и проектов.

Например, среди затронутого софта исследователи выделили Flask (написанный на Python фреймворк), Video.js (HTML5-видеоплеер), Belledonne (бесплатная VoIP и IP-телефония), Nagios XI (софт для мониторинга сети) и Clearance (парольная аутентификация на Ruby).

URL-парсинг представляет собой процесс разбивки веб-адреса на ключевые компоненты. Это нужно для того, чтобы трафик направлялся корректно между серверами и различными ссылками. Предназначенные для этого библиотеки, как правило, импортируются в приложения, чтобы обеспечить им описанные выше возможности.

«URL обычно состоят из пяти основных компонентов: схема, путь, запрос и фрагмент. Каждый из этих компонентов выполняет свою задачу», — пишут в отчёте специалисты Claroty Team82.

 

Согласно анализу экспертов, уязвимости возникли благодаря различиям в методе каждой библиотеки. Исследователи изучили в совокупности 16 различных библиотек, среди которых можно отметить urllib (Python), urllib3 (Python), rfc3986 (Python), httptools (Python), curl lib (cURL), Wget, Chrome (Browser), Uri (.NET), URL (Java), URI (Java), parse_url (PHP), url (NodeJS), url-parse (NodeJS), net/url (Go), uri (Ruby) и URI (Perl).

В ходе анализа специалисты выявили пять категорий несоответствий в методе парсинга компонентов: Scheme Confusion, Slash Confusion, Backslash Confusion, URL Encoded Data Confusion, Scheme Mix-ups. Проблема в том, что такие несоответствия могут создать уязвимые блоки кода.

Например, «slash confusion» может привести к появлению багов класса SSRF, а их уже злоумышленник может использовать для выполнения удалённого кода. Оказалось, что разные библиотеки для парсинга URL по-разному обрабатывают ссылки с большим количеством слешей: кто-то игнорирует дополнительный слеш, кто-то передаёт URL без хоста.

В общей сложности исследователи выделили восемь потенциальных уязвимостей в сторонних веб-приложениях. Их список выглядит так:

  1. Открытый редирект Flask-security (Python, CVE-2021-23385)
  2. Открытый редирект Flask-security-too (Python, CVE-2021-32618)
  3. Открытый редирект Flask-User (Python, CVE-2021-23401)
  4. Открытый редирект Flask-unchained (Python, CVE-2021-23393)
  5. Belledonne’s SIP Stack null pointer dereference (DoS) (C, CVE-2021-33056)
  6. Межсайтовый скриптинг Video.js (XSS) (JavaScript, CVE-2021-23414)
  7. Открытый редирект Nagios XI (PHP, CVE-2021-37352)
  8. Открытый редирект Clearance (Ruby, CVE-2021-23435)

ИИ-контент в России предложили маркировать добровольно

В России готовят правила для маркировки контента, созданного с помощью искусственного интеллекта. Но без обязательной плашки позора: пользователь сам будет решать, указывать ли, что картинка, видео или аудио сделаны нейросетью.

Такие положения вошли в законопроект о поддержке развития ИИ-технологий, который правительство внесло в Госдуму. Об этом РИА Новости сообщили в аппарате вице-премьера Дмитрия Григоренко.

Согласно документу, сервисы на базе больших ИИ-моделей должны будут дать пользователям техническую возможность маркировать созданные с их помощью аудио-, фото- и видеоматериалы.

Аналогичная обязанность появится и у владельцев соцсетей: они должны предусмотреть инструмент для размещения предупреждения об искусственном происхождении контента.

Но важный момент: маркировка будет добровольной. Законопроект не заставляет пользователей обязательно ставить предупреждение на каждый сгенерированный ролик, картинку или аудиофайл. Решение останется за автором.

В аппарате Григоренко объясняют это попыткой сформировать культуру честного взаимодействия с ИИ-контентом. Особенно такая маркировка может быть полезна в рекламе, образовании и массовых коммуникациях — там, где синтетический контент легко может ввести аудиторию в заблуждение.

При этом перед внесением в Госдуму законопроект заметно доработали с учетом замечаний бизнеса. Из него убрали обязательный контроль маркировки ИИ-контента для соцсетей и маркетплейсов. Причина практичная: надежных, массово доступных и недорогих инструментов для автоматического выявления генеративного контента пока просто нет.

Судя по всему, пока ставка делается не на жесткий контроль, а на добровольную прозрачность.

RSS: Новости на портале Anti-Malware.ru