СОДЕРЖАНИЕ:
  ДОМОЙ
  НОВОСТИ  
  IT АКАДЕМИЯ
  WAP-ВЕРСИЯ
  ФОРУМ
  БЕЗОПАСНОСТЬ
  ПРОГРАММИРОВАНИЕ
  ИНСТРУМЕНТ ВЕБМАСТЕРА
  ВСЁ ДЛЯ КПК
  СТАТЬИ NEW
  СОФТ
  ВИДЕО
  X-INFO
  ПРОКСИ ЛИСТ
  IT МУЗЫКА
  АНЕКДОТЫ
  ССЫЛКИ
  ТЕХ. ПОДДЕРЖКА
  ПРАВООБЛАДАТЕЛЯМ
  О НАС
ВАШ IP АДРЕС:
18.224.69.176
Человек на сайте На сайте: 587 человек(а)
Ђдминистрация никак не связан с авторами и содержимым ссылок
Рђеклама




Cервер : irc.comp-info.ru Порт : 6667 Канал : #comp-info


Архив Новостей  

Опасность ошибок Perl недооценивалась?

6 декабря 2005 | ASSCOL | Архив Новостей

Уязвимости в приложениях, написанных на языке Perl, могут приводить не только к атакам на отказ в обслуживании, как считалось до сих пор, но и вызвать гораздо более серьезные проблемы.

Во вторник компания Dyad Security предупредила о так называемой «уязвимости форматирования строки» в Webmin, утилите веб-администрирования, написанной на языке Perl. Используя эту ошибку «нового класса», злоумышленник может полностью завладеть сервером, на котором исполняется уязвимое ПО, говорится в предупреждении. «В случае успешного исполнения кода при стандартной конфигурации такая атака может привести к полному овладению компьютером на уровне root».

Об уязвимостях форматирования строки известно давно, но прежде эксперты считали, что подобные ошибки в приложениях, написанных на Perl, нельзя использовать для дистанционного исполнения кода на целевой системе. Такие атаки считались возможными только в том случае, если приложение написано на более низкоуровневом языке программирования, таком как С.

«Возможно, это первая из уязвимостей форматирования строки нового типа, — говорит старший менеджер Symantec Security Response Оливер Фридрихс. — Раньше считалось, что таким способом можно вызвать только атаку на отказ в обслуживании. Теперь хакеры, конечно же, начнут пристально изучать их».

Perl, популярный язык сценариев, широко применяется для веб-приложений, часто на серверах с операционной системой Linux. С повышением безопасности самой операционной системы злоумышленники начали искать способы вторжения в системы через веб-приложения и другое прикладное ПО.

«Учитывая общую нацеленность на веб-приложения, такая возможность использования уязвимостей форматирования строки дает в руки атакующим еще один инструмент, — говорит менеджер по средствам защиты компании eEye Стив Манзюйк. — Веб-серверы служат хорошей мишенью из-за большого количества скриптов на Perl, доступных анонимным удаленным пользователям».

Symantec и eEye не смогли независимо подтвердить утверждение фирмы Dyad, которую поддержал поставщик секьюрити-ПО Immunity. Symantec верит в его справедливость, но Манзюйк из eEye пока не убежден. «Обычно я отношусь к подобным вещам с долей скептицизма, пока сам не увижу доказательство. Если окажется, что это правда, это может стать очень серьезной проблемой», — сказал он.

Для защиты своих систем пользователи Webmin прежде всего должны установить последнюю версию утилиты, говорит Фридрихс. «В долгосрочном плане необходимо убедиться в правильном использовании строк форматирования в своих приложениях».

Строки форматирования — это способ описания формата выходных данных в приложении. Уязвимость появляется при неправильном использовании программистом строки форматирования. В результате злоумышленник получает возможность считывать и записывать содержимое памяти системы, исполняющей приложение, и в конечном итоге выполнить в ней произвольный код.

Пока не ясно, какое влияние окажет уязвимость строки форматирования, говорит Фридрихс. «Существует опасность, что на самом деле это (уязвимость Webmin) лишь первая из большого числа уязвимостей строки форматирования, которые мы можем увидеть в будущем». Один из способов решения проблемы, по его словам, заключается в том, чтобы разработчики Perl боролись с уязвимостями строки форматирования в самом Perl.


Все материалы предоставляются как информация к размышлению. Лица, использующие данную информацию в противозаконных целях, могут быть привлечены к уголовной ответственности. Администрация сайта в этих случаях ответственности не несет.

/USR/MENU:
 ./HOME
 ./HOME/NEWS  
 ./HOME/IT_ACADEMY
 ./WAP
 ./FORUM
 ./SECURITY
 ./PROGRAMMING
 ./SOFT/4WEBMASTERS
 ./ALL4POCKETS
 ./USR/ARTICLESNEW
 ./TEMP/SOFT
 ./USR/ALL_VIDEO
 ./HOME/X-INFO
 ./TEMP/PROXYLIST
 ./IT_MUSIC
 ./JOKES
 ./HOME/LINKS
 ./USR/SUPPORT
 ./USR/POSSESSOR
 ./ABOUT_US
УТИЛИТЫ:

  Сниффер
  Лог сниффера
  MD5 и Base64
  Декодирование MD5 NEW
 Перекодировщик
  Проверить прокси
  Проверка анонимности
  Генерация пароля
  Скрипт определения IP
  Поиск информации
   Проверить IP (Whois)
   Узнать скорость закачки
   Добавить свой сайт в поисковые системы>
   Подсветка php-кода

ПОЛЕЗНАЯ ИНФОРМАЦИЯ:
  Список национальных доменных имен
  Компьютерные термины
  Смайлики
   Аналоги Win-программ в Linux
   Коды ответа HTTP сервера
   Записки невесты программиста

Опрос




Права на содержащиеся на сайте материалы принадлежат авторам.

Copyright Комп-Инфо.ру © 2005