Опасность ошибок Perl недооценивалась?

Уязвимости в приложениях, написанных на языке Perl, могут приводить не только к атакам на отказ в обслуживании (DoS), как считалось до сих пор, но и вызвать гораздо более серьезные проблемы.

Во вторник компания Dyad Security предупредила о так называемой «уязвимости форматирования строки» в Webmin, утилите веб-администрирования, написанной на языке Perl. Используя эту ошибку «нового класса», злоумышленник может полностью завладеть сервером, на котором исполняется уязвимое ПО, говорится в предупреждении. «В случае успешного исполнения кода при стандартной конфигурации такая атака может привести к полному овладению компьютером на уровне root».

Об уязвимостях форматирования строки известно давно, но прежде эксперты считали, что подобные ошибки в приложениях, написанных на Perl, нельзя использовать для дистанционного исполнения кода на целевой системе. Такие атаки считались возможными только в том случае, если приложение написано на более низкоуровневом языке программирования, таком как С.

«Возможно, это первая из уязвимостей форматирования строки нового типа, — говорит старший менеджер Symantec Security Response Оливер Фридрихс (Oliver Friedrichs). — Раньше считалось, что таким способом можно вызвать только атаку на отказ в обслуживании. Теперь хакеры, конечно же, начнут пристально изучать их».

Perl, популярный язык сценариев, широко применяется для веб-приложений, часто на серверах с операционной системой Linux. С повышением безопасности самой операционной системы злоумышленники начали искать способы вторжения в системы через веб-приложения и другое прикладное ПО.

«Учитывая общую нацеленность на веб-приложения, такая возможность использования уязвимостей форматирования строки дает в руки атакующим еще один инструмент, — говорит менеджер по средствам защиты компании eEye Стив Манзюйк (Steve Manzuik). — Веб-серверы служат хорошей мишенью из-за большого количества скриптов на Perl, доступных анонимным удаленным пользователям».

Symantec и eEye не смогли независимо подтвердить утверждение фирмы Dyad, которую поддержал поставщик секьюрити-ПО Immunity. Symantec верит в его справедливость, но Манзюйк из eEye пока не убежден. «Обычно я отношусь к подобным вещам с долей скептицизма, пока сам не увижу доказательство. Если окажется, что это правда, это может стать очень серьезной проблемой», — сказал он.

Постоянная ссылка к новости: http://www.nixp.ru/news/6842.html. Дмитрий Шурупов по материалам zdnet.ru.