forum.opennet.ru - "Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx" (23)

"Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx"	+/–
Сообщение от opennews (??), 30-Апр-24, 11:12
В основной реализации языка программирования R, ориентированного на решение задач по статистической обработке, анализу и визуализации данных, выявлена критическая уязвимость (CVE-2024-27322), приводящая к выполнению кода при выполнении десериализации непроверенных данных. Уязвимость может быть эксплуатирована при обработке специально оформленных файлов в форматах RDS (R Data Serialization) и RDX, применяемых для обмена данными между приложениями. Проблема устранена в выпуске R 4.4.0. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61093
Ответить \| Правка \| Cообщить модератору

Оглавление

Кому интересно - могут почитать ещё https codeberg org KFmts kaitai_struct_for, Аноним (4), 11:30 , 30-Апр-24, (4) +2
Ну R очень специфический язык, используется для научных разработок И кому нужно, Аноним (5), 11:50 , 30-Апр-24, (5) –1

Доступ к вычислительным кластерам может быть интересен СГА, например, с целью са, Аноним (16), 17:54 , 30-Апр-24, (16) +2

Зачем R вперся в центрифугах Хотя сторонники куклускланов и прочих теорий загов, Аноним (29), 16:02 , 01-Май-24, (29)

Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и стро, Аноним (16), 16:14 , 01-Май-24, (31) +2

Фэйл этого плана в том что все это врядли к центрифугам подключено будет, и изна, Аноним (34), 22:46 , 01-Май-24, (34)

Так центрифуги тоже не были подключены, почитай на досуге Поправить расчёты мож, Аноним (16), 23:30 , 01-Май-24, (37)

Так я тоже читал И ума не приложу - как R с этим всем может пересечься, чтобы о, Аноним (-), 20:36 , 02-Май-24, (38)

научные разработки такие научные, Бывалый Смузихлёб (ok), 12:42 , 01-Май-24, (28)

Что же могло пойти не так , commiethebeastie (ok), 12:42 , 30-Апр-24, (8) +4

блин, ну зачем спалили, теперь новую уязвимость придумывать, Аноним (9), 13:11 , 30-Апр-24, (9) +2

Назвовём новую eval2, Аноним (26), 11:35 , 01-Май-24, (26) +2

Теперь вы знаете как искать бэкдоры и вулны Если в сишке это system то в скри, Аноним (-), 16:33 , 30-Апр-24, (12) +1

Спасибо, кэп, а то мы не знали Прямо в liblzma - system , Аноним (4), 17:09 , 30-Апр-24, (13)

Ну вот этот решил разнообразие проявить - нагомнякал в сборочной системе какую-т, Аноним (-), 20:45 , 30-Апр-24, (20)

использую popen но есть подозрения что кто-то сможет передать программе данные , тыквенное латте (?), 18:01 , 30-Апр-24, (18) –1

В system проблема в том что если програмер лох, атакующему который контролируе, Аноним (-), 21:11 , 30-Апр-24, (22)

В Сишке самая главная - это a i , где i sizeof a sizeof Type_a , Аноним (26), 11:57 , 01-Май-24, (27)

Это поди еще там заэксплуатируй на современной системе с всеми костылями и секур, Аноним (29), 16:08 , 01-Май-24, (30) –1

Приведите пример что такого можно передать в system, Аноним (32), 18:06 , 01-Май-24, (32)

Ман недвусмысленно говорит code Any user input that is employed as part of comm, Аноним (34), 22:54 , 01-Май-24, (35)

Ой, вот так прям эксплоит Я думал там серьёзная проблема есть , Аноним (39), 03:15 , 04-Май-24, (39)

Да вот dumb f s которые считают что пользовательскому или ремотному вводу можн, Аноним (40), 03:59 , 04-Май-24, (40)

Сообщения [Сортировка по времени | RSS]

4. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +2 +/–

Сообщение от Аноним (4), 30-Апр-24, 11:30

Кому интересно - могут почитать ещё https://codeberg.org/KFmts/kaitai_struct_formats/src/branch/...

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в реализации языка R, позволяющая выполнить код п..." –1 +/–

Сообщение от Аноним (5), 30-Апр-24, 11:50

Ну R очень специфический язык, используется для научных разработок. И кому нужно использовать такие CVE?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +2 +/–

Сообщение от Аноним (16), 30-Апр-24, 17:54

Доступ к вычислительным кластерам может быть интересен СГА, например, с целью саботировать очередные центрифуги. Говорю же, всё не случайно в серьёзных внедрениях.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (29), 01-Май-24, 16:02

> Доступ к вычислительным кластерам может быть интересен СГА, например, с целью саботировать
> очередные центрифуги. Говорю же, всё не случайно в серьёзных внедрениях.
Зачем R вперся в центрифугах? Хотя сторонники куклускланов и прочих теорий заговора они такие, везде следы ящериц найдут, сразу после того как масонов ругать перестанут.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +2 +/–

Сообщение от Аноним (16), 01-Май-24, 16:14

Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и строительство, очень даже может применяться. И какие теории, если это общепризнанный факт и не секрет?

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (34), 01-Май-24, 22:46

> Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и строительство,
> очень даже может применяться. И какие теории, если это общепризнанный факт и не секрет?
Фэйл этого плана в том что все это врядли к центрифугам подключено будет, и изначально заявляемая цель немножечко недостижима :)

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (16), 01-Май-24, 23:30

Так центрифуги тоже не были подключены, почитай на досуге. Поправить расчёты может быть интересней чем майнить крипту.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (-), 02-Май-24, 20:36

> Так центрифуги тоже не были подключены, почитай на досуге.
Так я тоже читал. И ума не приложу - как R с этим всем может пересечься, чтобы оно еще и полезно было?
> Поправить расчёты может быть интересней чем майнить крипту.
Тут как бы сильно зависит что, где и как - и к тому же на такую граблю можно встать и самому. Ибо нефиговый риск что какой-то ремотный 31337 сделает то же самое. Just because they can!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Бывалый Смузихлёб (ok), 01-Май-24, 12:42

научные разработки такие научные

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +4 +/–

Сообщение от commiethebeastie (ok), 30-Апр-24, 12:42

>то оно вычисляется при десериализации через выполнение выражения при помощи функции "eval"
Что же могло пойти не так.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +2 +/–

Сообщение от Аноним (9), 30-Апр-24, 13:11

блин, ну зачем спалили, теперь новую уязвимость придумывать

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +2 +/–

Сообщение от Аноним (26), 01-Май-24, 11:35

Назвовём новую eval2

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +1 +/–

Сообщение от Аноним (-), 30-Апр-24, 16:33

> десериализации через выполнение выражения при помощи
> функции "eval".
Теперь вы знаете как искать бэкдоры и вулны. Если в сишке это system() то в скриптоте это eval :)

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (4), 30-Апр-24, 17:09

Спасибо, кэп, а то мы не знали!
>Если в сишке это system() то в скриптоте это eval
Прямо в liblzma - system?

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (-), 30-Апр-24, 20:45

> Спасибо, кэп, а то мы не знали!
>>Если в сишке это system() то в скриптоте это eval
> Прямо в liblzma - system?
Ну вот этот решил разнообразие проявить - нагомнякал в сборочной системе какую-то муть. И да, тут на опеннете в свое время сплойт описывали в новостях. Сразу не понравился мутным кодом. Догадайтесь, что про него вскоре было написано в следующей новости.
Так что если код кажется мутным и непонятным - слать его в пень, без всяких колебаний.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в реализации языка R, позволяющая выполнить код п..." –1 +/–

Сообщение от тыквенное латте (?), 30-Апр-24, 18:01

> Если в сишке это system()
использую popen. но есть подозрения что кто-то сможет передать программе данные через пайп. Надо удалить, или переписать на безопастном (с).

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (-), 30-Апр-24, 21:11

>> Если в сишке это system()
> использую popen. но есть подозрения что кто-то сможет передать программе данные через
> пайп. Надо удалить, или переписать на безопастном (с).
В system() проблема в том что если програмер лох, атакующему который контролирует ввод легко срубить текущую команду - и донавесить своих внагрузку. Зафильтровать можно, но лучше взять за правило никогда не вызывать system() с данными контролируемыми внешним миром. Это почти как шелл внешнему миру вывесить.
А eval().. я как-то посмотрел сорц bitmessage, там жуткое спагетти и вот это. Я решил что такой сблюв я юзать не бу. Чутье не подвело - через полгодика кто-то подтвердил что таки - бэкдор это.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (26), 01-Май-24, 11:57

>Если в сишке это system()
В Сишке самая главная - это a[i], где i>=sizeof(a)/sizeof(Type_a)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Уязвимость в реализации языка R, позволяющая выполнить код п..." –1 +/–

Сообщение от Аноним (29), 01-Май-24, 16:08

>>Если в сишке это system()
> В Сишке самая главная - это a[i], где i>=sizeof(a)/sizeof(Type_a)
Это поди еще там заэксплуатируй на современной системе с всеми костылями и секуритифичами. А system() - халява, сэр!

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (32), 01-Май-24, 18:06

Приведите пример что такого можно передать в system

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (34), 01-Май-24, 22:54

> Приведите пример что такого можно передать в system
Ман недвусмысленно говорит:

Any user input that is employed as part of command should be carefully sanitized,
to ensure that unexpected shell commands or command options are not executed.
Such risks are especially grave when using system() from a privileged program.
Т.е. например если оно там где-то берет параметр из юзерского ввода, вбить в ввод нечто типа "abc; ls -la / > /tmp/wtf" - и посмотреть не прокатит ли такой номер?! Это по сути вызов шелла. И если прогер лох - ну, упс, как тебе такой ввод "параметра" шеллу? :). Идея таких сплойтов: первая часть закрывает легитимную команду. Вторая - донавешивает незапланированые бонусы после этого. Конкретика первой части может немного меняться, в зависимости от того что там програмер делал, но идея остается.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (39), 04-Май-24, 03:15

Ой, вот так прям эксплоит. Я думал там серьёзная проблема есть.

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в реализации языка R, позволяющая выполнить код п..." +/–

Сообщение от Аноним (40), 04-Май-24, 03:59

> Ой, вот так прям эксплоит. Я думал там серьёзная проблема есть.
Да вот dumb f...s которые считают что пользовательскому или ремотному вводу можно доверять - не заканчиваются. Тем хуже для них. Наше дело - кукарекнуть, а потом кто не спрятался я не виноват. Вы не представляете себе сколько таких дятлов на этой планете.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+2 +/–
Сообщение от Аноним (4), 30-Апр-24, 11:30
Кому интересно - могут почитать ещё https://codeberg.org/KFmts/kaitai_struct_formats/src/branch/...
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	–1 +/–
Сообщение от Аноним (5), 30-Апр-24, 11:50
Ну R очень специфический язык, используется для научных разработок. И кому нужно использовать такие CVE?
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+2 +/–
	Сообщение от Аноним (16), 30-Апр-24, 17:54
	Доступ к вычислительным кластерам может быть интересен СГА, например, с целью саботировать очередные центрифуги. Говорю же, всё не случайно в серьёзных внедрениях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (29), 01-Май-24, 16:02
	> Доступ к вычислительным кластерам может быть интересен СГА, например, с целью саботировать > очередные центрифуги. Говорю же, всё не случайно в серьёзных внедрениях. Зачем R вперся в центрифугах? Хотя сторонники куклускланов и прочих теорий заговора они такие, везде следы ящериц найдут, сразу после того как масонов ругать перестанут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+2 +/–
	Сообщение от Аноним (16), 01-Май-24, 16:14
	Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и строительство, очень даже может применяться. И какие теории, если это общепризнанный факт и не секрет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (34), 01-Май-24, 22:46
	> Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и строительство, > очень даже может применяться. И какие теории, если это общепризнанный факт и не секрет? Фэйл этого плана в том что все это врядли к центрифугам подключено будет, и изначально заявляемая цель немножечко недостижима :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (16), 01-Май-24, 23:30
	Так центрифуги тоже не были подключены, почитай на досуге. Поправить расчёты может быть интересней чем майнить крипту.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (-), 02-Май-24, 20:36
	> Так центрифуги тоже не были подключены, почитай на досуге. Так я тоже читал. И ума не приложу - как R с этим всем может пересечься, чтобы оно еще и полезно было? > Поправить расчёты может быть интересней чем майнить крипту. Тут как бы сильно зависит что, где и как - и к тому же на такую граблю можно встать и самому. Ибо нефиговый риск что какой-то ремотный 31337 сделает то же самое. Just because they can!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Бывалый Смузихлёб (ok), 01-Май-24, 12:42
	научные разработки такие научные
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

8. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+4 +/–
Сообщение от commiethebeastie (ok), 30-Апр-24, 12:42
>то оно вычисляется при десериализации через выполнение выражения при помощи функции "eval" Что же могло пойти не так.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+2 +/–
	Сообщение от Аноним (9), 30-Апр-24, 13:11
	блин, ну зачем спалили, теперь новую уязвимость придумывать
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+2 +/–
	Сообщение от Аноним (26), 01-Май-24, 11:35
	Назвовём новую eval2
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+1 +/–
Сообщение от Аноним (-), 30-Апр-24, 16:33
> десериализации через выполнение выражения при помощи > функции "eval". Теперь вы знаете как искать бэкдоры и вулны. Если в сишке это system() то в скриптоте это eval :)
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (4), 30-Апр-24, 17:09
	Спасибо, кэп, а то мы не знали! >Если в сишке это system() то в скриптоте это eval Прямо в liblzma - system?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (-), 30-Апр-24, 20:45
	> Спасибо, кэп, а то мы не знали! >>Если в сишке это system() то в скриптоте это eval > Прямо в liblzma - system? Ну вот этот решил разнообразие проявить - нагомнякал в сборочной системе какую-то муть. И да, тут на опеннете в свое время сплойт описывали в новостях. Сразу не понравился мутным кодом. Догадайтесь, что про него вскоре было написано в следующей новости. Так что если код кажется мутным и непонятным - слать его в пень, без всяких колебаний.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	–1 +/–
	Сообщение от тыквенное латте (?), 30-Апр-24, 18:01
	> Если в сишке это system() использую popen. но есть подозрения что кто-то сможет передать программе данные через пайп. Надо удалить, или переписать на безопастном (с).
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	22. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (-), 30-Апр-24, 21:11
	>> Если в сишке это system() > использую popen. но есть подозрения что кто-то сможет передать программе данные через > пайп. Надо удалить, или переписать на безопастном (с). В system() проблема в том что если програмер лох, атакующему который контролирует ввод легко срубить текущую команду - и донавесить своих внагрузку. Зафильтровать можно, но лучше взять за правило никогда не вызывать system() с данными контролируемыми внешним миром. Это почти как шелл внешнему миру вывесить. А eval().. я как-то посмотрел сорц bitmessage, там жуткое спагетти и вот это. Я решил что такой сблюв я юзать не бу. Чутье не подвело - через полгодика кто-то подтвердил что таки - бэкдор это.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (26), 01-Май-24, 11:57
	>Если в сишке это system() В Сишке самая главная - это a[i], где i>=sizeof(a)/sizeof(Type_a)
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	30. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	–1 +/–
	Сообщение от Аноним (29), 01-Май-24, 16:08
	>>Если в сишке это system() > В Сишке самая главная - это a[i], где i>=sizeof(a)/sizeof(Type_a) Это поди еще там заэксплуатируй на современной системе с всеми костылями и секуритифичами. А system() - халява, сэр!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (32), 01-Май-24, 18:06
	Приведите пример что такого можно передать в system
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (34), 01-Май-24, 22:54
	> Приведите пример что такого можно передать в system Ман недвусмысленно говорит: Any user input that is employed as part of command should be carefully sanitized, to ensure that unexpected shell commands or command options are not executed. Such risks are especially grave when using system() from a privileged program. Т.е. например если оно там где-то берет параметр из юзерского ввода, вбить в ввод нечто типа "abc; ls -la / > /tmp/wtf" - и посмотреть не прокатит ли такой номер?! Это по сути вызов шелла. И если прогер лох - ну, упс, как тебе такой ввод "параметра" шеллу? :). Идея таких сплойтов: первая часть закрывает легитимную команду. Вторая - донавешивает незапланированые бонусы после этого. Конкретика первой части может немного меняться, в зависимости от того что там програмер делал, но идея остается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (39), 04-Май-24, 03:15
	Ой, вот так прям эксплоит. Я думал там серьёзная проблема есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
	Сообщение от Аноним (40), 04-Май-24, 03:59
	> Ой, вот так прям эксплоит. Я думал там серьёзная проблема есть. Да вот dumb f...s которые считают что пользовательскому или ремотному вводу можно доверять - не заканчиваются. Тем хуже для них. Наше дело - кукарекнуть, а потом кто не спрятался я не виноват. Вы не представляете себе сколько таких дятлов на этой планете.
	Ответить \| Правка \| Наверх \| Cообщить модератору