Новости и события » Hi-Tech » Уязвимость в Guile, затрагивающая программы, привязанные к localhost

Уязвимость в Guile, затрагивающая программы, привязанные к localhost

Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь только к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы.

Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, все больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса с "http://localhost:6379/" и браузер обратиться к локальному сервису, ожидающему соединений на порту 6379.

Если протокол взаимодействия с сервисом основан на HTTP, то через браузер разработчика можно отправить сервису любую команду. Для скрытия обращения к localhost могут быть использованы произвольные доменные имена, указывающие в DNS на 127.0.0.1. В случае с интерпретатором Guile, который по умолчанию запускает обработчик для запросов с localhost, подобным способом можно организовать выполнение произвольного кода на языке Scheme на машине разработчика. Для локальных сервисов рекомендуется использовать unix-сокеты или именованные каналы, и не полагаться на привязку к localhost. Аналогичные способы атаки ранее были выявлены для БД Redis, Elasticsearch и Memcached.


Регина Тодоренко исполнила танец на красной дорожке...

Регина Тодоренко исполнила танец на красной дорожке Каннского кинофестиваля

Украинская телеведущая Регина Тодоренко впервые побывала на Каннском кинофестивале. Там она станцевала на красной дорожке. Для мероприятия Регина Тодоренко выбрала элегантный наряд черного цвета. Очевидно, кинофестиваль доставил ведущей огромную подробнее ...

загрузка...

 

Вверх