nixp.ru v3.0

5 ноября 2024,
вторник,
10:53:40 MSK

25 ноября 2014, 15:13

При использовании инструмента командной строки less можно выполнить произвольный код в системе

3
Использование less может поставить систему под удар
Использование less может поставить систему под удар
Иллюстрация с сайта flickr.com

Использование утилиты less для просмотра загруженного из сети контента может привести к выполнению удалённого кода. Об этом сообщил в списках рассылки инженер безопасности Google Мишал Залевски (Michal Zalewski).

Казалось бы, такой простой инструмент как less, который только выводит содержимое файла в терминал и осуществляет по нему навигацию, безопасен. Изначально он рассчитан на использование текстовых файлов, однако в Ubuntu и CentOS поддерживается больше форматов, в том числе архивы, изображения и PDF. Это возможно благодаря использованию скрипта под названием lesspipe — он задействует различные сторонние инструменты для расширения списка поддерживаемых форматов. Эти инструменты, по словам Мишала Залевски, создавались без учёта возможности ввода вредоносного кода.

Когда Залевски запустил программу для fuzzing-теста (инструмент проверки на уязвимость, который подставляет вредоносный ввод для приложений), направленную против архиватора cpio, используемого в lesspipe, он быстро выявил ошибку памяти, которая может привести к выполнению произвольного кода. «Хотя это единственная ошибка в cpio, я не сомневаюсь, что в других утилитах lesspipe есть такие же, если не хуже», — говорит инженер.

По мнению самого Мишала Залевски, проблема не относится к критическим, т.к. немногие пользователи будут открывать экзотические форматы скачанных файлов в less. Тем не менее, ситуация создаёт потенциальную угрозу, а из-за того, что многие инструменты имеют длинную историю и написаны давно, их разработчики могут не отреагировать достаточно быстро. Чтобы избежать проблемы здесь и сейчас, Залевски рекомендует удалить переменные окружения LESSOPEN и LESSCLOSE, если они заданы в системе.

Постоянная ссылка к новости: http://www.nixp.ru/news/12973.html. Никита Лялин по материалам pcworld.com.

fb twitter vk
Филипп Корвин

Заголовок пугает больше, чем сам текст, однако тенденция недобрая — детская бага в стиле винды в поставке по умолчанию… неужели только в убунте и centos? Или остальных просто тут не упомянули?

tinman321

С одной стороны тенденция недобрая. С другой, эти баги сидят в ПО годами и ими никто никогда просто не интересовался. Так пусть лучше начнут заниматься. Всё-таки предупреждён, значит вооружён.

Дмитрий Шурупов

… лучше не только предупреждëн, но и защищëн (патчем) :-)

tinman321

Боюсь, что Залевски прав и это тот случай, когда обещанного придется ждать джва года…