Nul
De Ruby-programmeertaal is beïnvloed door een vergelijkbare “deserialisatie probleem” dat heeft getroffen en een enorme ravage aan in het Java ecosysteem in 2016; een probleem dat later bleek ook een probleem voor .NETTO-en PHP-applicaties.
Het probleem bij de kern van dit probleem is hoe Ruby beheert het proces van serialisatie –en haar tegenhanger, deserialisatie.
Serialisatie is het proces van het omzetten van een data-object in een binair formaat, zodat het kan worden verzonden over een netwerk, wordt opgeslagen in een database, of opgeslagen op de harde schijf. Zoals je je kunt voorstellen, deserialisatie is het tegenovergestelde proces van reconstructie van een binaire blob terug in de data-object structuur, die vervolgens kunnen worden teruggevoerd in de programmeertaal voor verdere verwerking op een later tijdstip.
Bijna alle programmeertalen ondersteunen serialisatie en deserialisatie activiteiten. Sommigen maken gebruik van verschillende namen voor deze processen, maar het concept is te vinden in bijna alle. Bijvoorbeeld, in sommige Ruby documentatie bestanden, sommige ontwikkelaars verwijzen naar serialisatie en deserialisatie operaties onder de voorwaarden van mars en unmarshalling van gegevens.
Serialisatie en deserialisatie van gegevens is een veel voorkomende operatie in veel web-of desktop-applicaties, vooral omdat het een ongelooflijk eenvoudige en snelle manier van het verplaatsen van gegevens tussen apps of andere programmering van de media.
Maar veiligheid onderzoekers hebben klonk het alarm over het oneigenlijk gebruik van deze twee activiteiten. Het is nu al jaren gekend dat dit proces zou kunnen worden gericht aan de truc toepassingen in het uitvoeren van kwaadaardige commando ‘ s, in het bijzonder wanneer de gebruiker verstrekte gegevens worden direct in een serializer zonder te worden opgeschoond en vervolgens gedeserialiseerd in een keten van geautomatiseerde handelingen met geen zekerheid waarborgen.
De Java-Apocalyps
Dit werd pijnlijk duidelijk in 2015 wanneer twee beveiligingsonderzoekers –Chris Frohoff en Gabriel Lawrence– ontdekt dat er een gevaarlijke fout in de manier waarop gegevens gedeserialiseerd via de Apache Commons-Collectie, een zeer populaire Java-bibliotheek.
Onderzoekers van Vingerhoedskruid Beveiliging uitgebreid op Frohoff en Lawrence ‘ s originele werk, dat laat zien hoe een aanvaller kan misbruik maken van de Apache Commons Collectie bibliotheek lek over te nemen WebLogic, WebSphere, JBoss, Jenkins en OpenNMS Java-servers.
De proof-of-concept code vrijgegeven van deze experimenten werd later gebruikt om te bevestigen dat meer dan 70 andere Java-toepassingen zijn ook kwetsbaar voor deserialisatie gebreken. Een ShiftLeft rapport bleek ook tal van serialization/deserialisatie problemen in veel SaaS-leverancier Sdk ‘ s.
Deze ontdekkingen en de openbaring die deserialisatie-aanvallen zou kunnen werken in de praktijk en niet slechts een theoretische aanval schudde het Java ecosysteem in 2016, en het probleem werd bekend als de Java-Apocalyps.
Organisaties zoals Apache, Cisco, Red Hat, Cisco, VMWare, IBM, Intel, Adobe, HP, Jenkins en SolarWinds, alle uitgegeven beveiligingsadviezen en patches op te lossen betrokken producten.
Omwille van de veiligheid, Google toegestaan meer dan 50 van zijn Java engineers om deel te nemen in een project met de naam Operatie Rosehub, waar Google stafleden ingediend patches voor Java bibliotheken om te voorkomen dat deserialisatie-aanvallen.
Meer dan 2.600 zijn gepatched in Werking Rosehub, maar de boodschap was luid en duidelijk bij Oracle offices, en het bedrijf kondigde dit voorjaar plannen te laten vallen serialization/deserialisatie ondersteuning van de belangrijkste lichaam van de Java taal.
.NETTO en PHP ook beïnvloed
Echter, het probleem niet stoppen met Java. In 2017, HPE security onderzoekers ontdekten ook dat veel .NETTO-bibliotheken voor de ondersteuning van serialisatie en deserialisatie activiteiten waren ook gevoelig voor soortgelijke aanvallen, waardoor hackers over de apps en servers.
PHP volgde een paar maanden na dat, en eerder deze zomer, een PHP deserialisatie probleem werd ook gevonden in WordPress is een content management systeem dat wordt gebruikt voor het uitvoeren van meer dan 30 procent van de Internet sites.
En nu, Ruby, ook.
Maar, deze week, veiligheid onderzoekers van elttam, een Australische IT-beveiligingsbedrijf, hebben ook ontdekt dat Ruby-based apps zijn ook kwetsbaar voor serialisatie/deserialisatie-aanvallen.
Onderzoekers gepubliceerd proof-of-concept code laat zien hoe het exploiteren serialization/deserialisatie activiteiten ondersteund door de ingebouwde functies van de Ruby-programmeertaal zelf.
“Versies 2.0 tot 2.5 zijn getroffen,” elttam onderzoekers gezegd.
“Er is veel gelegenheid voor de toekomstige werkzaamheden, waaronder het hebben van de techniek cover Ruby versie 1.8 en 1.9 alsmede met betrekking tot gevallen waarin het Ruby-proces wordt aangeroepen met het commando-regel argument –disable-al,” de elttam team toegevoegd. “Alternate Ruby implementaties zoals JRuby en Rubinius zou ook kunnen worden onderzocht.”
Terwijl de Java-en .NETTO deserialisatie problemen beperkt blijven tot de derde-partij bibliotheken, met deserialisatie problemen impact Ruby zelf verhoogt een hacker aanvallen.
Met deze week de openbaringen, is er nu een proof-of-concept code online beschikbaar voor de montage van serialization/deserialisatie aanvallen tegen vier van de meest populaire programma ecosystemen rond –Java .NETTO, PHP en Ruby.
Als de HPE onderzoekers op gewezen in hun onderzoek op papier over .NET serialisatie ellende, het probleem is niet eenvoudig op te lossen.
De serialisatie/deserialisatie problemen –ongeacht de programmeertaal– een combinatie zijn van een kwetsbare code, maar ook slechte codering praktijken namens ontwikkelaars, die niet erkennen dat serialized data is niet per se standaard veilig en mag worden vertrouwd als gedeserialiseerd.
De vaststelling van dit zou vereisen dat het schoonmaken input van de gebruiker voordat het serienummer op te geven en vervolgens te beperken tot de gedeserialiseerd gegevens de toegang tot bepaalde functies te voorkomen dat schadelijke code van het hebben van haar weg met een server.
Verwante dekking:
Zero-day-in het populaire WordPress plugin in het wild misbruik over te nemen sitesAdobe ColdFusion-servers onder aanval van APT groepVirtualBox zero-day gepubliceerd door ontevreden onderzoekerVeel CMS plugins zijn TLS certificaat te valideren… en dat is heel slecht
WPA3 Wi-Fi is hier, en het is moeilijker om te kraken CNET
Google ‘ s automatische fuzz bot heeft gevonden meer dan 9.000 bugs in de afgelopen twee jaarWebsites worden aangevallen 58 keer per dag, zelfs als patch goed TechRepublicTwaalf schadelijke Python bibliotheken gevonden en verwijderd uit PyPI
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0