URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 132510
[ Назад ]
Исходное сообщение
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG"
Отправлено opennews , 06-Янв-24 11:15 
В Perl-модуле Spreadsheet::ParseExcel, предоставляющем функции для разбора файлов в формате Excel, выявлена критическая уязвимость (CVE-2023-7101), позволяющая выполнить произвольный код при обработке файлов  XLS или XLSX, включающих специально оформленные правила форматирования чисел. Уязвимость вызвана использованием при построении вызова "eval" данных, полученных из обрабатываемого файла. Проблема устранена в обновлении Spreadsheet::ParseExcel 0.66. Имеется прототип эксплоита...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=60376

Содержание
Сообщения в этом обсуждении
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 11:27 
> Barracuda ESG (Email Security Gateway)

Прикольное название для фигни с выполнением ремотного кода. Возможно, это опечатка и они имели в виду Email InSecurity Gateway?! :)

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 11:51 
Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco. Уже безопасненько.

А исполнение "проверяемых" файлов — у кого из антивирусов этого не было?

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:25 
Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:32 
> Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.

^^^ это сгенерировано либо нейросеткой, либо поехавшим.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:40 
>^^^ это сгенерировано либо нейросеткой, либо поехавшим.

На основании чего ты сделал подобные выводы? Мои выводы основаны на том, что РХ пропихнул свой толстый вендорлок буквально всем (достаточно посмотреть, сколько из проблемных компонентов типичного дистрибутива контролируется им) и уже в открытую занялся пропихиванием сомнительных зависимостей на перле. А шел/перл от редхата это автоматически подразумевает вулны.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:54 
> На основании чего ты сделал подобные выводы?

На основании того, что ваши комментарии являются бессвязным бредом.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:59 
Не являются, ограниченность и неосведомлённость отдельных комментаторов может вызывать у тех подобное впечатление. И, если я правильно понял, мейнтейнер сабжа на перлопомойке тоже сотрудник РХ. Он конечно же знал, что в коде вулны с евал. Кто, если не он?
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 14:25 
> Не являются

Докажите.
Попробуйте написать осмысленный текст.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:12 
Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не выглядит естественным.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:22 
> Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не
> выглядит естественным.

Семён, ты совсем не палишься. Твои сложности восприятия информации только твоя проблема.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 19:26 
Не, не угадал
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 19:33 
А может, и угадал, кто знает?
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:01 
У вас просто поток контекстуально несвязанных выражений, это даже прочитать сложно
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:04 
> У вас просто поток контекстуально несвязанных выражений

контекст тут был

>содержимое ICMP-пакетов на исполнение

и все предложения связаны с ним

>это даже прочитать сложно

сложность чтения гуманитариями не имеет значения, те, кого эта тема затрагивает -- понимают.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Anonymous1 , 08-Янв-24 11:07 
А эти те, кого эта тема затрагивает - они сейчас с тобой, в твоей комнате?
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 08-Янв-24 16:43 
> А эти те, кого эта тема затрагивает - они сейчас с тобой,
> в твоей комнате?

Не проецируй. Неспособность понимания контекста и отсутствие абстрактного мышления сигнализируют либо о серьёзных отклонениях, либо об исключительно низком уровне интеллекта.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 17:59 
Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуда даже по сети никуда сходить нельзя. Такие проблемы не должны приводить к большим проблемам, кроме получения ложного результата проверки вложения.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 02:26 
Это было про локальные антивирусы, которые на компах стоят.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Шарп , 06-Янв-24 11:32 
Наличие в коде eval и аналогов это признак говнокода.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено ИмяХ , 06-Янв-24 12:02 
Наличие в языке eval и аналогов это признак гoвнoязыка.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено YetAnotherOnanym , 06-Янв-24 12:17 
Ага, а наличие лезвия - признак говноинструмента.
Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука, использовать его проще, чем подвязать сишную либу и дёргать функции в ней. Но когдв речь идёт о недоверенных данных из внешнего источника - тут за eval надо бить по рукам.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 12:36 
>  Ага, а наличие лезвия - признак говноинструмента.

Если оно находится на рукояти в месте хвата — несомненно.

> Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука

Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 12:44 
> Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.

Но лучше, конечно, сделать всё для минимизации вероятности подобного исхода: скрипт — стереть, автора — перевести в дворники.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено _ , 06-Янв-24 20:44 
Людям свойственно ошибаться. (С)

Так что ошибку - поправят, автору дадут небольшую премию за исправление кода, тысяч в 5 долариков и всех то дел!
И только школота на опенете будет "переводить в дворники" пока мамка борщ есть не позвала :)

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 02:23 
> Людям свойственно ошибаться. (С)

Использование eval — это не ошибка, а намеренное вредительство.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено man perlfunc разрешил , 07-Янв-24 19:20 
Если только строчного.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено YetAnotherOnanym , 07-Янв-24 19:51 
Ага. Сотри.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено YetAnotherOnanym , 07-Янв-24 20:06 
Если ты видишь рукоять там, где расположено лезвие, то тебе определённо не следует прикасаться ни к какому инструменту.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:07 
В таком сценарии можешь написать эти же функции в виде либы или модуля и заносить в код как положено, а не через задницу. Код и данные должны быть отдельно.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено _ , 06-Янв-24 20:45 
А ещё на земле не должно быть войн, болезней и неравенства.
Я в курсе как должно, теперь ты в курсе как оно на смом деле :-D
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 17:50 
Отсутствие eval - признак статического языка, не более. В динамических он должен быть.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 17:43 
про это и намек, что статические языки рулят)
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено crypt , 06-Янв-24 12:59 
Я его слепила из того, что было. Коммерческий продукт страдает от использования noname opensource компонентов.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено лютый жабби.... , 06-Янв-24 13:51 
>Коммерческий продукт страдает от использования noname opensource компонентов.

ну, это нормально (в смысле типично). архитектора конечно на мыло, в 2024м году использовать перловку, вместо божественной жабки и apache poi

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 13:55 
На жабку у них не хватило памяти :(
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 14:42 
Жабку на встроенном девайсе? Петончег же.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 15:09 
Ну уж нет уже пора игогошечку.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 18:21 
Здесь нужно использовать python, lua или нечто подобное. perl взяли, вероятно, потому что вместо разработки собственного движка начали допиливать какой-нибудь Spamassassin
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено _ , 06-Янв-24 20:55 
>какой-нибудь Spamassassin

Там не только SA - там вся колбаса была куплена у одной канадской фирмы в 2к-десятых. Видимо радикально переделать - дорого, ну вот и ... IronPort-ы там же паслись, так что смотрите за апдейтами :)

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено rvs2016 , 06-Янв-24 13:50 
> Проблема устранена в обновлении
> Spreadsheet::ParseExcel 0.66.

Когда это обновление к нашим завезут?
А то у наших пока версия 0.65_2,1:

% pkg search p5-Spreadsheet-ParseExcel
p5-Spreadsheet-ParseExcel-0.65_2,1 Get information from Excel file

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 17:38 
На цпане огромное количество модулей с плохим качеством кода. Все надо вычитывать.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 20:07 
>eval

Не уязвимость, а бэкдор. То, что eval запрещено использовать, знают все.

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 15:05 
Вам кто-то запретил, вот и не используйте.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 17:59 
>Не уязвимость, а бэкдор

https://siliconangle.com/2023/12/28/barracuda-patches-email-.../

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 06-Янв-24 20:40 
В js постоянно жуткие баги в npm находят и норм, а тут за что лет один баг на перле и набежало хейтеров...
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено ку , 07-Янв-24 19:23 
неосиляторы, сэр. комплексы. и ещё этот чортов утёнок.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 21:25 
Думаю, просто разработки на js ведётся на порчдок больше чем на perl
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Tron is Whistling , 07-Янв-24 09:41 
Пппппппц. Эвал для разбора форматирования - это высший пилотаж, за который вот это вот стоило бы вынести из репозитария вместе с авторами, и никогда больше не пускать.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Tron is Whistling , 07-Янв-24 09:42 
А так - ну, очередное подтверждение тому, что все хламорепозитарии - зло.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 11:38 
9.5 лет прошло с момента предыдущего обновления модуля.

Revision history for Perl module Spreadsheet::ParseExcel.

0.66 December 29 2023

    ! Fix for CVE-2023-7101
      https://github.com/runrig/spreadsheet-parseexcel/issues/33

0.65 March 15 2014
    ! Merge support for accessing hyperlink data

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Аноним , 07-Янв-24 14:59 
9.5 лет написанный код работал без необходимости постоянно спички вставлять.
Вам такое и не снилось.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Шарп , 08-Янв-24 12:06 
9.5 лет работал бекдор. Вам такое и не снилось.


"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Tron is Whistling , 07-Янв-24 11:45 
А, то есть оно уже ещё и тухлое. Ну, классика cpan'о-пипо-npm'ов, да.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено Liin , 08-Янв-24 13:10 
За eval в коде надо бить, возможно, даже ногами. Это ж просто бомба замедленного действия.
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено PnD , 09-Янв-24 16:28 
В обработке "внешних" данных — да.
В привилегированных конфигураторах — нет. (Чем всякие DSL бессовестно пользуются. И неважно как это называется.)
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..."
Отправлено anonymous , 09-Янв-24 01:24 
ESG же это Environment, Sustainability, and Governance.