Noll
Ruby-programmering språk är påverkat av en liknande “avserialisering fråga” som har påverkat och vållade förödelse i Java ekosystem 2016, en fråga som senare också visade sig vara ett problem för .NETTO och PHP-applikationer.
Problemet ligger i hjärtat av detta problem är hur Ruby hanterar processen av serialisering –och dess motsvarighet, avserialisering.
Serialisering är en process av att omvandla en data-objekt till ett binärt format så att den kan skickas över ett nätverk, som lagras i en databas, eller sparas på hårddisken. Som ni kan föreställa er, avserialisering är den motsatta processen, för att vända på en binär blob tillbaka till sin data object struktur som kan sedan matas tillbaka in i programmeringsspråk för vidare bearbetning vid ett senare tillfälle.
Nästan alla programmeringsspråk har stöd för serialisering och avserialisering verksamhet. Vissa kan använda olika namn för dessa processer, men begreppet finns i nästan alla. Till exempel, i vissa Ruby dokumentation filer, vissa utvecklare hänvisa till serialisering och avserialisering verksamhet enligt packetering och unmarshalling data.
Numrera och deserializing data är en vanlig operation i många webb-eller stationära tillämpningar, främst eftersom det är ett otroligt enkelt och snabbt sätt att flytta data mellan program eller olika programmeringsspråk medier.
Men säkerhet forskare har slagit larm om felaktig användning av dessa två operationer. Det har nu varit känt i många år för att denna process skulle kunna vara riktade för att lura program till att köra skadliga kommandon, särskilt när den av användaren angivna data matas direkt in i en serializer utan att saneras först, och sedan deserialized i en kedja av automatiserad verksamhet med inga säkerhetsåtgärder.
Java-Apokalypsen
Det blev smärtsamt uppenbart i och med 2015 när två säkerhetsforskare –Chris Frohoff och Gabriel Lawrence– upptäckte en farlig brist i hur data var deserialized via Apache Commons Samling, en mycket populär Java-bibliotek.
Forskare från Fingerborgsblomma Säkerhet expanderat på Frohoff och Lawrence ursprungliga arbete, som visar hur en angripare kan utnyttja Apache Commons Samling bibliotek fel att ta över WebLogic, WebSphere, JBoss, Jenkins, och OpenNMS Java-servrar.
Proof-of-concept kod som släpptes från dessa experiment användes senare för att bekräfta att över 70 andra Java-program var också utsatta för avserialisering brister. En ShiftLeft rapporten visade också många serialisering/avserialisering frågor i många SaaS säljaren Sdk.
Dessa upptäckter och den uppenbarelse som avserialisering attacker skulle kunna fungera i praktiken och inte bara en teoretisk attack skakade Java ekosystem 2016, och problemet blev känt som Java-Apokalyps.
Organisationer såsom Apache, Cisco, Red Hat, Cisco, VMWare, IBM, Intel, Adobe, HP, Jenkins, och början till början, alla utgivna säkerhetsbulletiner och patchar för att fixa berörda produkter.
För den skull säkerhet, Google drygt 50 av sina Java ingenjörer att delta i ett projekt som heter Drift Rosehub, där personal på Google lämnat in lappar till Java bibliotek för att förhindra avserialisering attacker.
Över 2 600 lagas i Drift Rosehub, men meddelandet hörs klart och tydligt på Oracle ‘ s kontor, och bolaget meddelat att den här våren planerar att släppa serialisering/avserialisering stöd från huvuddelen av Java.
.NETTO och PHP också drabbade
Men fråga inte sluta med Java. I 2017, HPE säkerhet forskare har också upptäckt att många .ÅRETS bibliotek för att stödja serialisering och avserialisering verksamheter var också utsatta för liknande attacker, vilket gjorde hackare att ta över applikationer och servrar.
PHP följde ett par månader efter det, och tidigare i sommar, en PHP-avserialisering frågan var också finns i WordPress, ett content management system som används för att köra mer än 30 procent av Internet-sajter.
Och nu, Ruby, också.
Men, den här veckan, säkerhet forskare från elttam, ett Australiskt IT-säkerhetsföretaget har också upptäckt att Ruby-baserade appar är också sårbara för serialisering/avserialisering attacker.
Forskare publicerade proof-of-concept-kod visar hur man kan utnyttja serialisering/avserialisering verksamhet som stöds av det inbyggda funktioner för Ruby-programmering språket i sig.
“- Version 2.0-2,5 påverkas,” elttam forskarna säger.
“Det finns en hel del möjligheter för framtida arbete med tekniken täcka Ruby versioner 1.8 och 1.9 och omfattar fall där Ruby processen startas med kommandoraden argument –disable-alla” elttam laget till. “Alternativa Ruby implementationer som JRuby och Rubinius kunde också undersökas.”
Medan Java och .NET avserialisering frågor var begränsade till tredje part bibliotek, med avserialisering frågor inverkan Ruby sig kraftigt ökar en hacker attack yta.
Med denna vecka uppenbarelser, det är nu proof-of-concept-kod som finns tillgänglig online för montering av serialisering/avserialisering attacker mot fyra av de mest populära programmen ekosystem runt –Java, .NET, PHP och Ruby.
Som HPE forskare påpekade i sin uppsats om .NET serialisering elände, problemet är inte att det är enkelt att lösa.
Serialisering/avserialisering frågor-oavsett programmeringsspråk– är en kombination av koden, men också dålig kodning på uppdrag av utvecklare, som inte inser att serialiserad data är inte nödvändigtvis säker som standard och bör vara betrodda när deserialized.
Fastställande av detta skulle kräva att ha rensa användardata innan serialiseringen det och sedan begränsa en deserialized data få tillgång till vissa funktioner för att förhindra att skadlig kod har sitt sätt med en server.
Relaterade täckning:
Zero-day i populära WordPress plugin utnyttjas i det vilda för att ta över platserAdobe ColdFusion servrar under attack från APT-gruppenVirtualBox zero-day publicerades av missnöjda forskareMånga CMS plugins är att inaktivera TLS-certifikat validering… och det är mycket dåligt
WPA3 Wi-Fi finns här, och att det är svårare att hacka CNET
Googles automatiska fuzz bot har hittat över 9 000 buggar under de senaste två årenWebbplatser som attackeras 58 gånger per dag, även när lagas ordentligt TechRepublicTolv skadliga Python bibliotek som hittas och tas bort från PyPI
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0