The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В CVE опубликованы отчёты о ложных уязвимостях в curl, PostgreSQL и других проектах

30.08.2023 09:58

Дэниел Cтенберг (Daniel Stenberg), автор утилиты для получения и отправки данных по сети curl, предупредил пользователей о публикации организацией MITRE, отвечающей за ведение базы данных общеизвестных уязвимостей, отчёта с информацией о ложной критической уязвимости. Проблеме присвоен CVE-идентификатор CVE-2020-19909 и выставлен уровень опасности 9.8 из 10, свойственный для удалённо эксплуатируемых уязвимостей, приводящих к выполнению кода с повышенными привилегиями.

На деле отчёт об уязвимости ссылается на проблему в коде разбора параметра командной строки "--retry-delay", которая была устранена в 2019 году и приводила к целочисленному переполнению. Так как ошибка проявляется только при явной передаче некорректного значения при запуске утилиты из командной строки и приводит к неверной интерпретации задержки перед повторной отправкой данных (несколько секунд вместо заданных миллиардов лет), ошибка не была отнесена разработчиками к категории уязвимостей.

Тем не менее, спустя три года кто-то отправил в MITRE отчёт об уязвимости и присвоил проблеме критический уровень опасности. Вопрос также вызывает то, как MITRE мог согласиться с заявленным уровнем опасности, так как даже если бы это была эксплуатируемая уязвимость, проблемы, приводящие к отказу в обслуживании, обычно помещаются в категорию неопасных. Примечательно, что разработчики curl обратились в MITRE с просьбой отменить CVE-отчёт, но представители MITRE ограничились отпиской, отказались удалить CVE и лишь пометили его как спорный ("DISPUTED").

Данный инцидент можно было бы считать единичным случаем, но проект PostgreSQL сообщил о выявлении подобного ложного отчёта, также отправленного 22 августа и привязанного к старому CVE-идентификатору, выданному в 2020 году. Отчёт об уязвимости CVE-2020-21469, которой присвоен статус опасной (7.5 из 10), ссылается на исправленную в 2020 году ошибку, проявляющуюся при обработке сигнала SIGHUP серверным процессом PostgreSQL. В CVE заявлено, что через повторяющуюся отправку сигнала SIGHUP серверному процессу можно добиться отказа в обслуживании. Разработчики PostgreSQL не считают данную ошибку уязвимостью, так как для её проявления требуется выполнение действий с правами администратора или пользователя postgres, имеющего полный доступ к СУБД (нет смысла вызывать отказ в обслуживании, когда достаточно прав для штатного завершения процесса и удаления БД).

Анализ нетипичных CVE, созданных 22 августа, показал, что в этот день было добавлено около 150 отчётов (1, 2, 3, 4, 5, 6) под идентификаторами, выданными в 2020-2022 годах. Идентификаторы охватывают большое число открытых проектов и, на первый взгляд, также интерпретируют обычные ошибки, не связанные с обработкой внешних данных, как опасные уязвимости. Например, среди заявленных проблем, которым присвоен статус критически опасных:

  • CVE-2022-48522 - переполнение стека в функции S_find_uninit_var из Perl 5.34.0. Указано, что наблюдаемое аварийное завершение может привести к удалённому выполнению кода или локальному повышению привилегий.
  • CVE-2022-48174 - переполнение стека в интерпретаторе ash из набора busybox. Заявлена возможность выполнения кода злоумышленника при выполнении команд в ash.
  • CVE-2022-47022 - ошибка в topology-linux.c из open-mpi hwloc 2.1.0, приводящая к отказу в обслуживании через glibc-cpuset.
  • CVE-2022-36648 - разыменование нулевого указателя при эмуляции of_dpa_cmd_add_l2_flood в QEMU 7.0.0. Заявлено о потенциальной возможности добиться выполнения кода на стороне хост-системы через выполнения определённого кода в гостевой ОС.
  • CVE-2022-26592 - переполнение стека в libsass 3.6.5, затрагивающее функцию CompoundSelector::has_real_parent_ref.
  • CVE-2020-24295, CVE-2020-24293, CVE-2020-24292, CVE-2021-40263, CVE-2021-40265 - серия проблем в пакете FreeImage, проявляющихся при разборе изображений в разных форматах.
  • CVE-2021-29390 - переполнение кучи в функции decompress_smooth_data (jdcoefct.c) из библиотеки libjpeg-turbo 2.0.90, позволяющее прочитать 2 байта из области вне буфера.
  • CVE-2020-35357 - переполнение буфера в функции gsl_stats_quantile_from_sorted_data из библиотеки GSL (GNU Scientific Library) 2.5 и 2.6, которое может привести к выполнению кода при обработке специально оформленных входных данных.
  • CVE-2020-22219 - переполнение буфера в функции bitwriter_grow_ в кодировщике flac, которое может привести к выполнению кода при обработке специально оформленных входных данных.
  • CVE-2020-22217 - переполнение буфера в функции ares_parse_soa_reply (ares_parse_soa_reply.c) из пакета c-ares.

Спорные отчёты направлены анонимно через сервис информирования об уязвимостях NVD. Мотив публикации не ясен, вероятно кто-то решил продемонстрировать отсутствие должного аудита при приёме отчётов об уязвимостях, возможность использования CVE как механизма для дискредитации проектов или привлечь внимание к исправлению в коде потенциально опасных проблем без анализа их влияния на безопасность. Наиболее вероятно, что кто-то подготовил отчёты на основе изучения исправленных ошибок, которые потенциально были способны привести к уязвимостям, но были признаны разработчиками основных проектов, как не влияющие на безопасность (например, могло быть переполнение буфера, но оно проявлялось только при обработке внутренних данных, на которые не может влиять пользователь).

  1. Главная ссылка к новости (https://daniel.haxx.se/blog/20...)
  2. OpenNews: Pwnie Awards 2023: наиболее существенные уязвимости и провалы в безопасности
  3. OpenNews: Pwnie Awards 2021: наиболее существенные уязвимости и провалы в безопасности
  4. OpenNews: Pwnie Awards 2020: наиболее существенные уязвимости и провалы в безопасности
  5. OpenNews: Pwnie Awards 2019: наиболее существенные уязвимости и провалы в безопасности
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59683-cve
Ключевые слова: cve, curl, postgresql, mitre
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:12, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Больше не меньше - пусть будет.
     
     
  • 2.7, Аноним (7), 10:27, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Один раз теряют жизнь и доверие.
     
     
  • 3.39, Бывалый смузихлёб (?), 12:49, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    доверие - не жизнь
    можно терять и обретать пока не надоест
     
     
  • 4.48, Аноним (7), 14:08, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Обрести заново не выйдет. В том-то и соль.

    Можно только растратить доступное в начале, только в минус.

     
  • 4.61, anonymous (??), 17:37, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ... но стоило один раз трахнуть козу.
     
  • 4.63, Аноним (63), 22:26, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "Но жизнь не звук, чтоб обрывать, она сказала мне"
     
  • 3.42, Аноним (1), 13:23, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про доверие - это только с Лужковым работает, обычные люди обретают доверие или недоверие переходя с работы на работу легко.
     
     
  • 4.47, Аноним (7), 14:07, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Неточный вывод.

    Переходя с работы на работу от потери доверия, доверие теряют у всё большего и большего числа людей. Потеря усиливается. Новое не обретается.

    Столица-то большая, запас людей есть. А в городках поменьше доверяющие люди быстро заканчиваются.

     
     
  • 5.49, Аноним (1), 14:27, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я как всегда забыл про подмосковье...
     
  • 5.51, Аноним (51), 15:32, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но в Неризиновске людей и компаний для доверия ещё очень достаточно.
     
  • 3.44, Аноним (44), 13:30, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И друга :<
     

  • 1.2, пох. (?), 10:14, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    хахаха. Кто-то наконец заметил что грантоеды из MITRE давно уже ничего не умеют кроме торговли номерками да и та поставлена из рук вон плохо (продают диапазоны "впрок" уважаемым людям и без конца путают номерки)

     
  • 1.3, InuYasha (??), 10:16, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Бывают такие нелюди: своих проектов нет - так хоть до чужих докопаться.
    Но в данном случае, как мне кажется, тут нечто большее чем психическое расстройство.
     
     
  • 2.4, Аноним (4), 10:18, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Думаешь это злой умысел?
     
     
  • 3.8, Аноним (7), 10:29, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дурак всё делает только с лучшими намерениями. :)
     
  • 3.12, InuYasha (??), 10:40, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну, смотри: этот "кто-то" как минимум кропотливо собрал эти баги, причём, за несколько лет, оформил запросы, выбрав одному ему понятное время...
    Может, это недовольный "пропусками", либо очередной хайповый "пенетатор". А может, кто-то и ИИ решил на это натравить.
     
     
  • 4.17, Аноним (17), 10:56, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Да проще все. Кому-то потребовалось референсы на уязвимости. Для грантов, отчетов, сиви, инвестора или подобного. Вкратце - для очковтирательства.
     
     
  • 5.22, InuYasha (??), 11:15, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот, нечто-похожее под хайповым пенетратором я и имел в виду )
     
     
  • 6.41, Бывалый смузихлёб (?), 12:52, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    хайповый пенетратор - название столь таки кошерное что заслуживает отметки в анналах
     
     
  • 7.59, InuYasha (??), 17:19, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    только, ради всего святого, не скармливай это генератору картинок... (>_<)
     
  • 3.26, FF (?), 11:42, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нужно же безопасные языки продвигать, показывать неуклонное падение багов в результате внедрения
     
     
  • 4.28, Анонимусс (?), 11:55, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Хехе, пока что количество багов на дыряшке только растет)))
     
     
  • 5.43, FF (?), 13:27, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, ловля багов совершенствуется, а проектов меньше не становится
     
  • 5.45, Совершенно другой аноним (?), 13:33, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Справедливости ради - на других языках, в том числе и Rust, тоже растёт (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - за 2023 уже 19 штук).

    В частности есть и выход за пределы буфера CVE-2023-28448, CVE-2023-28445

     
  • 5.50, Аноним (50), 15:30, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вранье. Всё с точностью до наоборот. Чем шире внедряют раст, тем меньше ошибок работы с памятью (в расте вообще ни одной, а остальное - от си/плюсов):

    https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.ht

     
  • 2.29, Анонин (?), 11:58, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну разумеется, найти ошибку в чужом проекте - это преступление.
    Пусть лучше живет там, используется, главное не порочить славное имя программеров!
     
     
  • 3.30, InuYasha (??), 12:10, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не делай сове больно.
    "докопаться" != "найти ошибку"
     
     
  • 4.64, Аноним (63), 22:29, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А если сова - эффективный менеджер?
     
     
  • 5.70, InuYasha (??), 11:15, 31/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А если сова - эффективный менеджер?

    Будем натягивать всем отделом.

     
  • 3.46, keydon (ok), 13:43, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно даже взять уже найденную и отправить и даже не будет преступлением. А вот пропустить такую ошибку уже нехорошо. Ну разово тоже бывает. А вот массово, да еще и после явного сообщения об этом просто отписаться и ничего не сделать - это уже многое говорит о компетенциях.
     
  • 3.54, Аноним (51), 16:09, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >найти ошибку в чужом проекте - это преступление.

    В Скрепной, если найти ошибку в коде (полу)госструктуры, то можно нарваться на "Неправомерный доступ к компьютерной информации".

     

  • 1.5, Аноним (4), 10:20, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну всё, все уязвимости фейковые, а мы живём в идеальном мире.
     
     
  • 2.9, Аноним (7), 10:31, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да просто ИИ подключили, он выдумал и отрапортавал. А на той стороне тоже ИИ подключили ответы писать, он тоже выдумал как ответить.
     
     
  • 3.15, ryoken (ok), 10:46, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ChatGPT таки пролез в Ынет? :)
     
     
  • 4.16, Аноним (16), 10:48, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он вообще-то только в Ынете и бывает и без него не жизнеспособен.
     
  • 3.19, Аноним (19), 11:03, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сотрудники колл-центров мстят за картонные леопарды.
     

  • 1.6, Аноним (6), 10:24, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Взбодрили ©
     
  • 1.20, Массоны Рептилоиды (?), 11:06, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мальчик, который кричал "Волк!"
     
     
  • 2.31, InuYasha (??), 12:11, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А волк спокойно спустился с холма и накрыл всё стадо. )
     
     
  • 3.33, Массоны Рептилоиды (?), 12:14, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дай дураку волка стеклянного...
     
     
  • 4.35, фтщт (?), 12:23, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    он и лоб разобьет
    (возможно волка, но это не точно)
     

  • 1.23, Аноним (23), 11:16, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > но были признаны разработчиками основных проектов, как не влияющие на безопасность

    Т.е. те, кто уже налажал в коде, просто говорят "это безопасно" и им сразу нужно поверить?

     
     
  • 2.52, Аноним (50), 15:33, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    прочти уже новость. Не через слово и не по диагонали. Там все разжевано даже для имбе.цилов.
     
     
  • 3.60, Ananimus (?), 17:26, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это опеннет. Тут люди не умеют читать, только писать и подозревать везде заговор США.
     
     
  • 4.65, Аноним (63), 22:32, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А некоторым ещё товарищ майор везде чудится
     
     
  • 5.66, Аноним (66), 00:54, 31/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То, что у тебя паранойя, еще не значит, что за тобой не следят.
     
     
  • 6.71, Рмшъ (?), 11:16, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но если у тебя нет паранойи, то это тоже не значит, что за тобой не следят.
     
  • 2.68, oficsu (ok), 01:18, 31/08/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вам незачем верить. Я в вас не сомневаюсь, как квалифицированный а̶н̶о̶н̶и̶м разработчик, вы сможете самостоятельно проверить эти CVE, пройдя по ссылкам
     

  • 1.32, onanim (?), 12:12, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Наиболее вероятно, что кто-то подготовил отчёты на основе изучения исправленных ошибок, которые потенциально были способны привести к уязвимостям, но были признаны разработчиками основных проектов, как не влияющие на безопасность (например, могло быть переполнение буфера, но оно проявлялось только при обработке внутренних данных, на которые не может влиять пользователь).

    это.
    просто индусы добрались и до нашего уютного инфосека, и флудят все CVE Numbering Authorities хламом типа open redirect и фейковыми репортами, в надежде получить кучу номеров CVE и написать эти CVE себе в резюме, типа они дофига секьюрити рисёрчеры.

     
  • 1.34, Атон (?), 12:20, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ChatGPT вырос до уровня развития малолетнего /школьника/ и хулиганит.
     
  • 1.37, Офицер ИБ (?), 12:27, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Уже давно пора создать национальный реестр уязвимостей
    Только государство может все это поставить на ноги
     
     
  • 2.40, Аноним (40), 12:51, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://bdu.fstec.ru/vul
     
  • 2.56, Аноним (51), 16:21, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И пора принять закон об уголовной отвественности за допущение уязвимостей в программах для ЭВМ. На первый раз наказывать штрафом: для физлиц - ..., для должностных лиц - ..., для юрлиц - .... При повторном нарушении в течение года лишение свободы на срок: для физлиц - ..., для должностных лиц - ..., для юрлиц - ....
     
     
  • 3.58, IZh. (?), 16:58, 30/08/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    К сожалениею, единственный способ Гарантироать отсутствие новых ошибок -- это не писать новый код.
     

  • 1.55, Аноним (-), 16:11, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В MITRE сидит некомпетентный чиновник. Он отработал рабочий день, и ему плевать на мнение разработчиков.
     
  • 1.57, IZh. (?), 16:56, 30/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какой-нибудь студент решил получить себе резюме крутого исследователя безопасности. Считай, можно хвастаться, что нашёл столько дыр уровня critical, а если хоть что-то пофиксят, то, вообще, герой.
     
     
  • 2.67, Аноньимъ (ok), 01:07, 31/08/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > если хоть что-то пофиксят

    Сишникам проще тратить часы дни и недели чтобы протестовать против статуса ошибки недели починить переполнение буфера.

     

  • 1.69, bOOster (ok), 10:07, 31/08/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-то отправил.. Кто-то заинтересованный в популизации языков типа rust?
     
     
  • 2.73, Растофобофоб (?), 07:02, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы ты умел немного думать, то додумался бы что в расте этот "баг" тоже случился бы в релизном режиме. Но это надо уметь думать.
     

  • 1.72, Neon (??), 04:25, 05/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Короче, на ошибку просто забили)))
     
     
  • 2.74, Анонннннн (?), 07:07, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если под "забили" ты имеешь в виду "исправили в 2019", то да.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру