forum.opennet.ru - "Критическая уязвимость в Drupal" (48)

"Критическая уязвимость в Drupal"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в Drupal"	+/–
Сообщение от opennews (?), 28-Мрт-18, 23:53
В системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2018-002) критическая уязвимость (https://groups.drupal.org/security/faq-2018-002) (CVE-2018-7600 (https://security-tracker.debian.org/tracker/CVE-2018-7600)), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч (https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac87...). Для эксплуатации уязвимости достаточно (https://twitter.com/codeincarnate/status/979080318966730753) передать параметр запроса или Cookie, начинающийся с символа "#", который будет обработан как спецключ для вызова произвольного PHP-обработчика через Drupal Form API (https://api.drupal.org/api/drupal/developer%21topics�...). URL: https://www.drupal.org/sa-core-2018-002 Новость: https://www.opennet.me/opennews/art.shtml?num=48348
Ответить \| Правка \| Cообщить модератору

Оглавление

Это не дыра, это фича , Аноним (-), 23:59 , 28-Мрт-18, (2) +18

господи друпал это жи грех какой то , Аноним (-), 21:17 , 29-Мрт-18, (34) +1

А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест, Аноним (-), 00:02 , 29-Мрт-18, (3)

принципиальная дыра - это вообще работать с каким-либо user input В противном с, пох (?), 00:32 , 29-Мрт-18, (4) –1

Принципиальная дыра - это ожидать, что в user input будет только то, что там дол, YetAnotherOnanym (ok), 18:56 , 29-Мрт-18, (33)

они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, пох (?), 16:16 , 31-Мрт-18, (48) –1

Принципиально дыра в головах Прикрыть будет ооооочень сложно , anomymous (?), 11:55 , 31-Мрт-18, (43)

Что, опять , th3m3 (ok), 01:15 , 29-Мрт-18, (5) +3
https www drupal org files issues 2018-03-28 SA-CORE-2018-002 patchдля Drupal6, Sylvia (ok), 07:03 , 29-Мрт-18, (6) +1

Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 , dq0s4y71 (ok), 23:16 , 28-Апр-18, (51)

Одним словом - пехапе, Аноним (-), 08:05 , 29-Мрт-18, (7) –3

Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов, IRASoldier (?), 08:21 , 29-Мрт-18, (8) +4

ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения, Аноним (-), 10:29 , 29-Мрт-18, (11) –1

В современном PHP все уже есть А в старом коде времен php4, да, я видел парсеры, KonstantinB (ok), 11:18 , 29-Мрт-18, (15)

так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в, Аноним (-), 12:30 , 29-Мрт-18, (17) +1

Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП , KonstantinB (ok), 13:04 , 29-Мрт-18, (23) +1

htmlspecialchars, filter_var, Аноне (?), 10:34 , 30-Мрт-18, (40)

это слишком низкоуровневые конструкции, и к тому же они by design неверны если , пох (?), 13:45 , 31-Мрт-18, (46) –1

Дырень касается всех или только тех у кого есть какие-то пользователи и они чего, Fy (?), 08:53 , 29-Мрт-18, (9) –1

если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл, ваш К.О. (?), 10:17 , 29-Мрт-18, (10) +2

Тонко, Солнышко (??), 14:08 , 29-Мрт-18, (26)

Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь, Аноним (-), 16:22 , 30-Мрт-18, (41)

Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс, 123 (??), 10:39 , 29-Мрт-18, (12)

Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программ, Солнышко (??), 11:12 , 29-Мрт-18, (13) –2

И безопасность, как видим, тоже Но шкурку натянуть можно, это да , Аноним (-), 12:29 , 29-Мрт-18, (16) +1

Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем , Солнышко (??), 12:38 , 29-Мрт-18, (19) –1

Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают , KonstantinB (ok), 13:01 , 29-Мрт-18, (22) +2

или не понесут а при удачном раскладе еще и страховку нехилую получат раскру, ыы (?), 14:05 , 29-Мрт-18, (25) –3

Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп, Солнышко (??), 14:08 , 29-Мрт-18, (27) –1
Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к , KonstantinB (ok), 15:28 , 29-Мрт-18, (30) +2

Неприятности происходят вне зависимости от того делаете вы что-то или нет с , ыы (?), 16:33 , 29-Мрт-18, (32) –2

Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей, KonstantinB (ok), 23:28 , 29-Мрт-18, (35) +2

Ну чел вообще-то в чём-то прав Вы с ним не согласны , Аноним (-), 00:08 , 30-Мрт-18, (36) –1

Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что , KonstantinB (ok), 05:22 , 31-Мрт-18, (42)

Оу шыт Вы посмотрите на этот патч Он выкидывает все параметры GET POST-запросо, KonstantinB (ok), 11:16 , 29-Мрт-18, (14) +2

Система render array https www drupal org docs 8 api render-api render-arrays, 123 (??), 12:46 , 29-Мрт-18, (20)

Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc, KonstantinB (ok), 12:58 , 29-Мрт-18, (21)

Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок , Солнышко (??), 14:09 , 29-Мрт-18, (28) –3

Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс, KonstantinB (ok), 15:26 , 29-Мрт-18, (29) +3

В тот момент эта идея мне показалась привлекательной с анек, ыы (?), 16:27 , 29-Мрт-18, (31) –2

А можно весь анекдот Сходу не нагуглил , Аноним (-), 00:11 , 30-Мрт-18, (37) –1

Так это он весь и есть ыы , Led (ok), 01:21 , 30-Мрт-18, (38)

Смешение user input и callbacks в одном массиве OH SHI Закoпать и не откапыват, anomymous (?), 11:58 , 31-Мрт-18, (44) +1

когда мы это писали - классов в php 4 еще не было а им надо было донести до , пох (?), 13:49 , 31-Мрт-18, (47) –1

Да были классы В конце концов, можно было бы просто два разных массива сделать , KonstantinB (ok), 20:27 , 31-Мрт-18, (49)

Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома , Аноним (-), 07:43 , 30-Мрт-18, (39) –1

Он уже миллион лет не на Друпале Это всё реклама , redwolf (ok), 12:45 , 31-Мрт-18, (45) +3

Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют , Robin (?), 11:07 , 28-Мрт-23, (52)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (-), 28-Мрт-18, 23:59 +18 +/–

Это не дыра, это фича!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

3. Сообщение от Аноним (-), 29-Мрт-18, 00:02 +/–

А патчи в стили PHP, годы идут, ничего не меняется. Мы тут ввод подчистим, вместо, того чтоб принципиально дыру прикрыть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #43

4. Сообщение от пох (?), 29-Мрт-18, 00:32 –1 +/–

принципиальная дыра - это вообще работать с каким-либо user input? В противном случае, у меня для вас плохие новости... по крайней мере, для машин с фон-неймановской архитектурой и тьюринг-полных языков.
а на "parser3" вы современный сайт делать не захотите (он не тьюринг-полный, untrusted данные изолированы. Щастья своим разработчикам не принес.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #33

5. Сообщение от th3m3 (ok), 29-Мрт-18, 01:15 +3 +/–

Что, опять?

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Sylvia (ok), 29-Мрт-18, 07:03 +1 +/–

https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-...
для Drupal6

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

7. Сообщение от Аноним (-), 29-Мрт-18, 08:05 –3 +/–

Одним словом - пехапе

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

8. Сообщение от IRASoldier (?), 29-Мрт-18, 08:21 +4 +/–

Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов

Не язык должен быть "безошибочным", а код. Так-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

9. Сообщение от Fy (?), 29-Мрт-18, 08:53 –1 +/–

Дырень касается всех или только тех у кого есть какие-то пользователи и они чего-то куда-то вводят?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12

10. Сообщение от ваш К.О. (?), 29-Мрт-18, 10:17 +2 +/–

если у твоего локалхоста нет пользователей - нет, тебя не касается. Особенно если и drupal ты из архива не распаковывал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

11. Сообщение от Аноним (-), 29-Мрт-18, 10:29 –1 +/–

> Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов
> Не язык должен быть "безошибочным", а код. Так-то.
ну, на самом-то деле, изначальное отсутствие в языке "с низким порогом вхождения" каких-нибудь тривиальных высокоуровневых примитивов вида tosql/tohtml/toxml/tojson и необходимость в каждом случае переизобретать велосипед - очень даже способствует написанию кривого кода. А безошибочного кода не бывает. Бывает хорошо отлаженный.
отдельный привет я-у-мамы-программистам. Прекрасный тест на профпригодность - дать такому задачу "преобразовать untrusted data в,к примеру, sql" (с особым нажимом на слово "untrusted").
Если вы видите, что он сходу начинает писать регекс вместо транслятора - сразу пинка под зад, это рефлексы, это никакому переобучению не поддастся.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #40

12. Сообщение от 123 (??), 29-Мрт-18, 10:39 +/–

Касается всех, даже включение режима обслуживания не спасет. Ошибка прямо с бутстрапа ядра как-то тянется. В общем без вариантов, надо обновлять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Солнышко (??), 29-Мрт-18, 11:12 –2 +/–

Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программирование, но нужна гибкая настройка сущностей. А шкурку натянуть можно какую хочешь. Скорость правда не ахти, но для корпоратпорталов и не надо.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

14. Сообщение от KonstantinB (ok), 29-Мрт-18, 11:16 +2 +/–

Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов и куки, имена которых начинаются с символа "#".
Это же что там с ними делается, что у них означает этот маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? Кому вообще пришло в голову такое сделать? И сколько же таких мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную фильтрацию?
Это не php, это люди, которых нельзя пускать за клавиатуру.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #28

15. Сообщение от KonstantinB (ok), 29-Мрт-18, 11:18 +/–

В современном PHP все уже есть.
А в старом коде времен php4, да, я видел "парсеры" XML и JSON через eval(). "Ну а чо, так проще же". Один такой eval() одной компании как-то обошелся в полмиллиона долларов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17

16. Сообщение от Аноним (-), 29-Мрт-18, 12:29 +1 +/–

> Скорость правда не ахти
И безопасность, как видим, тоже. Но шкурку натянуть можно, это да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19

17. Сообщение от Аноним (-), 29-Мрт-18, 12:30 +1 +/–

> одной компании как-то обошелся в полмиллиона долларов
так это одной. А полмиллиона других компаний сэкономили на этом по доллару - и вот уже общий баланс неотрицательный :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #23

19. Сообщение от Солнышко (??), 29-Мрт-18, 12:38 –1 +/–

>> Скорость правда не ахти
> И безопасность, как видим, тоже. Но шкурку натянуть можно, это да.
Для бизнеса чаще всего важнее шкурка, а не содержание. В таком мире мы живем.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #22

20. Сообщение от 123 (??), 29-Мрт-18, 12:46 +/–

Система render array https://www.drupal.org/docs/8/api/render-api/render-arrays

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21

21. Сообщение от KonstantinB (ok), 29-Мрт-18, 12:58 +/–

Скорее https://api.drupal.org/api/drupal/developer%21topics�...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от KonstantinB (ok), 29-Мрт-18, 13:01 +2 +/–

Для бизнеса важны бабки, а как следствие - важно все. Просто некоторые осознают важность качественного безопасного кода только после того, как понесут миллионные убытки.
Я всегда объясняю нетехническим бизнесменам понятие технического долга через бабки, прекрасно понимают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

23. Сообщение от KonstantinB (ok), 29-Мрт-18, 13:04 +1 +/–

Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от ыы (?), 29-Мрт-18, 14:05 –3 +/–

>как понесут миллионные убытки.
или не понесут.. а при удачном раскладе еще и страховку нехилую получат...

>долга через бабки, прекрасно понимают
раскрутить лоха на бабки.. да.. есть мастера еще какие :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #27, #30

26. Сообщение от Солнышко (??), 29-Мрт-18, 14:08 +/–

Тонко

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

27. Сообщение от Солнышко (??), 29-Мрт-18, 14:08 –1 +/–

>>как понесут миллионные убытки.
> или не понесут.. а при удачном раскладе еще и страховку нехилую получат...
>>долга через бабки, прекрасно понимают
> раскрутить лоха на бабки.. да.. есть мастера еще какие :)
Или продадут "успешный" стартап, а отдуваться будет подрядчик фирмы, кто его купит )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от Солнышко (??), 29-Мрт-18, 14:09 –3 +/–

> Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов
> и куки, имена которых начинаются с символа "#".
> Это же что там с ними делается, что у них означает этот
> маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func?
> Кому вообще пришло в голову такое сделать? И сколько же таких
> мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную
> фильтрацию?
> Это не php, это люди, которых нельзя пускать за клавиатуру.
Будь мужиком, покажи класс. Напиши свой патч, а мы посмотрим, ок?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #29

29. Сообщение от KonstantinB (ok), 29-Мрт-18, 15:26 +3 +/–

Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве, с префиксом "#" у колбэков.
Если делать по-хорошему, надо вместо этого массива сделать класс, в котором данные отдельно и колбэки отдельно. Учитывая объем кода, включая сотни сторонних плагинов, нормального способа исправления уже нет, и приходится делать вот такой костыль. А вот тот идиот, который изначально такое смешение придумал, заложил в проект бомбу замедленного действия, и лучше бы его не пускали за клавиатуру.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31, #44

30. Сообщение от KonstantinB (ok), 29-Мрт-18, 15:28 +2 +/–

> раскрутить лоха на бабки.. да.. есть мастера еще какие :)
Да вот прямо сейчас последствия работы таких мастеров разгребаю. До человека, к сожалению, дошло только после того, как слили всю его базу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32

31. Сообщение от ыы (?), 29-Мрт-18, 16:27 –2 +/–

"В тот момент эта идея мне показалась привлекательной" (с) анек

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

32. Сообщение от ыы (?), 29-Мрт-18, 16:33 –2 +/–

>> раскрутить лоха на бабки.. да.. есть мастера еще какие :)
> Да вот прямо сейчас последствия работы таких мастеров разгребаю. До человека, к
> сожалению, дошло только после того, как слили всю его базу.
"Неприятности происходят вне зависимости от того делаете вы что-то или нет." (с)
Вы считаете что проблема в мастерах... Возможно со своей колокольни вы действительно видите проблему так. Потому что иных вариантов для вас просто не существует.
Другой специалист на тех же данных увидит другую причину проблемы... И тоже, что характерно - будет прав...
Третий специалист найдет третий источник бед... И опять же будет прав.. и докажет что именно его виденье должно как можно более щедро наполнится хрустящими купюрами...
и все будут просить дай, дай денег дай.....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35

33. Сообщение от YetAnotherOnanym (ok), 29-Мрт-18, 18:56 +/–

Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по представлениям разработчика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #48

34. Сообщение от Аноним (-), 29-Мрт-18, 21:17 +1 +/–

господи друпал это жи грех какой то

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

35. Сообщение от KonstantinB (ok), 29-Мрт-18, 23:28 +2 +/–

Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #36

36. Сообщение от Аноним (-), 30-Мрт-18, 00:08 –1 +/–

Ну чел вообще-то в чём-то прав. Вы с ним не согласны?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #42

37. Сообщение от Аноним (-), 30-Мрт-18, 00:11 –1 +/–

А можно весь анекдот? Сходу не нагуглил :(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #38

38. Сообщение от Led (ok), 30-Мрт-18, 01:21 +/–

> А можно весь анекдот?
Так это он весь и есть: "ыы"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

39. Сообщение от Аноним (-), 30-Мрт-18, 07:43 –1 +/–

Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

40. Сообщение от Аноне (?), 30-Мрт-18, 10:34 +/–

htmlspecialchars, filter_var

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #46

41. Сообщение от Аноним (-), 30-Мрт-18, 16:22 +/–

Да куда уж тоньше. Словно сайты без аунтификации и прочих форм ввода бывают только на локалхосте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

42. Сообщение от KonstantinB (ok), 31-Мрт-18, 05:22 +/–

Два еврея пришли к раввину, чтобы он разрешил их спор.
- Ребе, вот я говорю, что на небе луна.
- Ты прав.
- А он говорит, что это месяц.
- И он прав.
Жена раввина кричит с кухни:
- Соломон, так не может быть, чтоб они оба были правы!
- И ты права.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

43. Сообщение от anomymous (?), 31-Мрт-18, 11:55 +/–

Принципиально дыра в головах. Прикрыть будет ооооочень сложно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

44. Сообщение от anomymous (?), 31-Мрт-18, 11:58 +1 +/–

> Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве,
> с префиксом "#" у колбэков.
Смешение user input и callbacks в одном массиве?
OH SHI...
Закoпать и не откапывать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #47

45. Сообщение от redwolf (ok), 31-Мрт-18, 12:45 +3 +/–

Он уже миллион лет не на Друпале. Это всё реклама.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

46. Сообщение от пох (?), 31-Мрт-18, 13:45 –1 +/–

> htmlspecialchars, filter_var
это слишком низкоуровневые конструкции, и к тому же они by design неверны (если использовать filter не для валидации, с этим-то все в порядке, кроме названия).
То есть малейшая неаккуратность, и получаем дыру типа описанной.
трансляцию надо выполнять не на обработке input (потому что совершенно неизвестно, что мы с тем input делать собираемся - мы его может вообще сейчас as-is бросим обратно в рожу пользователю в тот textarea, из которого получили, потому что он капчу неверно набрал - и зачем, спрашивается, было куда-то транслировать?)
ее надо выполнять в том месте, где ты с этим input что-то собрался делать.
Если в базу собрался положить - тебе нужен sql translator, если в html - html'ный, в js - js'овый. Ну, надеюсь, eval() мы не собираемся? Хотя php-транслятором лучше сразу озаботиться ;-)
Известно это становится только непосредственно на этапе выполнения, уже после всех валидаций и промежуточных обработок (попутно уже нельзя в этом месте вернуть ошибку и ничего не сделать). Именно там и надо фильтровать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

47. Сообщение от пох (?), 31-Мрт-18, 13:49 –1 +/–

> Смешение user input и callbacks в одном массиве?
"когда мы это писали - классов в php (4?) еще не было"
а им надо было донести до обработчика и данные, и какое-то обозначение, что с ними делать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #49

48. Сообщение от пох (?), 31-Мрт-18, 16:16 –1 +/–

>  Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по
> представлениям разработчика.
они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, где нужно фильтровать еще один из сотни символов, имеющих специльное значение.
это не лечится, это будет всегда.



Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

49. Сообщение от KonstantinB (ok), 31-Мрт-18, 20:27 +/–

Да были классы.
В конце концов, можно было бы просто два разных массива сделать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

51. Сообщение от dq0s4y71 (ok), 28-Апр-18, 23:16 +/–

Drupal6 упоминается почему-то только в одной ссылке. В двух других только 7 и 8. Там вообще про одну и ту же уязвимость?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

52. Сообщение от Robin (?), 28-Мрт-23, 11:07 +/–

Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют человека испытывать любовные надежды  в отношении практически всех встречающихся ему новых лиц. Как вернуть интерес к жизни: 11 шагов

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (-), 28-Мрт-18, 23:59	+18 +/–
Это не дыра, это фича!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #34

3. Сообщение от Аноним (-), 29-Мрт-18, 00:02	+/–
А патчи в стили PHP, годы идут, ничего не меняется. Мы тут ввод подчистим, вместо, того чтоб принципиально дыру прикрыть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #43

4. Сообщение от пох (?), 29-Мрт-18, 00:32	–1 +/–
принципиальная дыра - это вообще работать с каким-либо user input? В противном случае, у меня для вас плохие новости... по крайней мере, для машин с фон-неймановской архитектурой и тьюринг-полных языков. а на "parser3" вы современный сайт делать не захотите (он не тьюринг-полный, untrusted данные изолированы. Щастья своим разработчикам не принес.)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #33

5. Сообщение от th3m3 (ok), 29-Мрт-18, 01:15	+3 +/–
Что, опять?
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Sylvia (ok), 29-Мрт-18, 07:03	+1 +/–
https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-... для Drupal6
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #51

7. Сообщение от Аноним (-), 29-Мрт-18, 08:05	–3 +/–
Одним словом - пехапе
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

8. Сообщение от IRASoldier (?), 29-Мрт-18, 08:21	+4 +/–
Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов Не язык должен быть "безошибочным", а код. Так-то.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11

9. Сообщение от Fy (?), 29-Мрт-18, 08:53	–1 +/–
Дырень касается всех или только тех у кого есть какие-то пользователи и они чего-то куда-то вводят?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #12

10. Сообщение от ваш К.О. (?), 29-Мрт-18, 10:17	+2 +/–
если у твоего локалхоста нет пользователей - нет, тебя не касается. Особенно если и drupal ты из архива не распаковывал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #26

11. Сообщение от Аноним (-), 29-Мрт-18, 10:29	–1 +/–
> Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов > Не язык должен быть "безошибочным", а код. Так-то. ну, на самом-то деле, изначальное отсутствие в языке "с низким порогом вхождения" каких-нибудь тривиальных высокоуровневых примитивов вида tosql/tohtml/toxml/tojson и необходимость в каждом случае переизобретать велосипед - очень даже способствует написанию кривого кода. А безошибочного кода не бывает. Бывает хорошо отлаженный. отдельный привет я-у-мамы-программистам. Прекрасный тест на профпригодность - дать такому задачу "преобразовать untrusted data в,к примеру, sql" (с особым нажимом на слово "untrusted"). Если вы видите, что он сходу начинает писать регекс вместо транслятора - сразу пинка под зад, это рефлексы, это никакому переобучению не поддастся.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #15, #40

12. Сообщение от 123 (??), 29-Мрт-18, 10:39	+/–
Касается всех, даже включение режима обслуживания не спасет. Ошибка прямо с бутстрапа ядра как-то тянется. В общем без вариантов, надо обновлять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

13. Сообщение от Солнышко (??), 29-Мрт-18, 11:12	–2 +/–
Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программирование, но нужна гибкая настройка сущностей. А шкурку натянуть можно какую хочешь. Скорость правда не ахти, но для корпоратпорталов и не надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

14. Сообщение от KonstantinB (ok), 29-Мрт-18, 11:16	+2 +/–
Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов и куки, имена которых начинаются с символа "#". Это же что там с ними делается, что у них означает этот маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? Кому вообще пришло в голову такое сделать? И сколько же таких мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную фильтрацию? Это не php, это люди, которых нельзя пускать за клавиатуру.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #20, #28

15. Сообщение от KonstantinB (ok), 29-Мрт-18, 11:18	+/–
В современном PHP все уже есть. А в старом коде времен php4, да, я видел "парсеры" XML и JSON через eval(). "Ну а чо, так проще же". Один такой eval() одной компании как-то обошелся в полмиллиона долларов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #17

16. Сообщение от Аноним (-), 29-Мрт-18, 12:29	+1 +/–
> Скорость правда не ахти И безопасность, как видим, тоже. Но шкурку натянуть можно, это да.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #19

17. Сообщение от Аноним (-), 29-Мрт-18, 12:30	+1 +/–
> одной компании как-то обошелся в полмиллиона долларов так это одной. А полмиллиона других компаний сэкономили на этом по доллару - и вот уже общий баланс неотрицательный :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #23

19. Сообщение от Солнышко (??), 29-Мрт-18, 12:38	–1 +/–
>> Скорость правда не ахти > И безопасность, как видим, тоже. Но шкурку натянуть можно, это да. Для бизнеса чаще всего важнее шкурка, а не содержание. В таком мире мы живем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #22

20. Сообщение от 123 (??), 29-Мрт-18, 12:46	+/–
Система render array https://www.drupal.org/docs/8/api/render-api/render-arrays
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #21

21. Сообщение от KonstantinB (ok), 29-Мрт-18, 12:58	+/–
Скорее https://api.drupal.org/api/drupal/developer%21topics�...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

22. Сообщение от KonstantinB (ok), 29-Мрт-18, 13:01	+2 +/–
Для бизнеса важны бабки, а как следствие - важно все. Просто некоторые осознают важность качественного безопасного кода только после того, как понесут миллионные убытки. Я всегда объясняю нетехническим бизнесменам понятие технического долга через бабки, прекрасно понимают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #25

23. Сообщение от KonstantinB (ok), 29-Мрт-18, 13:04	+1 +/–
Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

25. Сообщение от ыы (?), 29-Мрт-18, 14:05	–3 +/–
>как понесут миллионные убытки. или не понесут.. а при удачном раскладе еще и страховку нехилую получат... >долга через бабки, прекрасно понимают раскрутить лоха на бабки.. да.. есть мастера еще какие :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #27, #30

26. Сообщение от Солнышко (??), 29-Мрт-18, 14:08	+/–
Тонко
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #41

27. Сообщение от Солнышко (??), 29-Мрт-18, 14:08	–1 +/–
>>как понесут миллионные убытки. > или не понесут.. а при удачном раскладе еще и страховку нехилую получат... >>долга через бабки, прекрасно понимают > раскрутить лоха на бабки.. да.. есть мастера еще какие :) Или продадут "успешный" стартап, а отдуваться будет подрядчик фирмы, кто его купит )
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от Солнышко (??), 29-Мрт-18, 14:09	–3 +/–
> Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов > и куки, имена которых начинаются с символа "#". > Это же что там с ними делается, что у них означает этот > маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? > Кому вообще пришло в голову такое сделать? И сколько же таких > мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную > фильтрацию? > Это не php, это люди, которых нельзя пускать за клавиатуру. Будь мужиком, покажи класс. Напиши свой патч, а мы посмотрим, ок?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #29

29. Сообщение от KonstantinB (ok), 29-Мрт-18, 15:26	+3 +/–
Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве, с префиксом "#" у колбэков. Если делать по-хорошему, надо вместо этого массива сделать класс, в котором данные отдельно и колбэки отдельно. Учитывая объем кода, включая сотни сторонних плагинов, нормального способа исправления уже нет, и приходится делать вот такой костыль. А вот тот идиот, который изначально такое смешение придумал, заложил в проект бомбу замедленного действия, и лучше бы его не пускали за клавиатуру.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #31, #44

30. Сообщение от KonstantinB (ok), 29-Мрт-18, 15:28	+2 +/–
> раскрутить лоха на бабки.. да.. есть мастера еще какие :) Да вот прямо сейчас последствия работы таких мастеров разгребаю. До человека, к сожалению, дошло только после того, как слили всю его базу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #32

31. Сообщение от ыы (?), 29-Мрт-18, 16:27	–2 +/–
"В тот момент эта идея мне показалась привлекательной" (с) анек
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #37

32. Сообщение от ыы (?), 29-Мрт-18, 16:33	–2 +/–
>> раскрутить лоха на бабки.. да.. есть мастера еще какие :) > Да вот прямо сейчас последствия работы таких мастеров разгребаю. До человека, к > сожалению, дошло только после того, как слили всю его базу. "Неприятности происходят вне зависимости от того делаете вы что-то или нет." (с) Вы считаете что проблема в мастерах... Возможно со своей колокольни вы действительно видите проблему так. Потому что иных вариантов для вас просто не существует. Другой специалист на тех же данных увидит другую причину проблемы... И тоже, что характерно - будет прав... Третий специалист найдет третий источник бед... И опять же будет прав.. и докажет что именно его виденье должно как можно более щедро наполнится хрустящими купюрами... и все будут просить дай, дай денег дай.....
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #35

33. Сообщение от YetAnotherOnanym (ok), 29-Мрт-18, 18:56	+/–
Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по представлениям разработчика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #48