Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract

05.12.2022 11:23

Несколько недавно выявленных уязвимостей:

В редакторе Visual Studio Code (VS Code) выявлена критическая уязвимость (CVE-2022-41034), позволяющая организовать выполнение кода при открытии пользователем ссылки, подготовленной атакующим. Код может быть выполнен как на компьютере с VS Code, так и на любых других компьютерах, подключённых к VS Code при помощи функции "Remote Development". Проблема представляет наибольшую опасность для пользователей web-версии VS Code и web-редакторов на её основе, включая GitHub Codespaces и github.dev.
Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:").
В текстовом редакторе GNU Emacs выявлена уязвимость (CVE-2022-45939), позволяющая организовать выполнение команд при открытии файла с кодом, через подстановку спецсимволов в имени, обрабатываемом при помощи инструментария ctags.
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2022-31097), позволяющая добиться выполнения JavaScript-кода при выводе уведомления через систему Grafana Alerting. Атакующий с правами редактора (Editor) может подготовить специально оформленную ссылку и получить доступ к интерфейсу Grafana с правами администратора в случае перехода администратора по этой ссылке. Уязвимость устранена в выпусках Grafana 9.2.7, 9.3.0, 9.0.3, 8.5.9, 8.4.10 и 8.3.10.
Уязвимость (CVE-2022-46146) в библиотеке exporter-toolkit, используемой для создания модулей экспорта метрик для Prometheus. Проблема позволяет обойти basic-аутентификацию.
Уязвимость (CVE-2022-44635) в платформе для создания финансовых сервисов Apache Fineract, позволяющая неаутентифицированному пользователю добиться удалённого выполнения кода. Проблема вызвана отсутствием должного экранирования символов ".." в путях, обрабатываемых компонентом для загрузки файлов. Уязвимость устранена в выпусках Apache Fineract 1.7.1 и 1.8.1.
Уязвимость (CVE-2022-46366) в Java-фреймворке Apache Tapestry, позволяющая добиться выполнения своего кода при десериализации специально оформленных данных. Проблема проявляется только в старой ветке Apache Tapestry 3.x, которая уже не поддерживается.
Уязвимости в провайдерах Apache Airflow к Hive (CVE-2022-41131), Pinot (CVE-2022-38649), Pig (CVE-2022-40189) и Spark (CVE-2022-40954), приводящие к удалённому выполнению кода через загрузку произвольных файлов или подстановку команд в контексте выполнения заданий, не имея доступа на запись к DAG-файлам.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58264-vscode

Ключевые слова: vscode, grafana, emacs, apache

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 11:44, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>Apache Fineract Неудачное название. Звучит как гибрид Fine Reader с Tesseract OCR.

2.2, Жироватт (ok), 11:55, 05/12/2022 [^] [^^] [^^^] [ответить]	+2 +/–
А может так и задумывалось? LibreWord, apachings, russt++...

2.3, Аноним (3), 11:56, 05/12/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Опенсорс не может в удачные названия

3.5, Илья (??), 12:00, 05/12/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Чего только стоят названия программ ддя Ubuntu Touch) u[вставить че программа делает]

4.8, Жироватт (ok), 12:04, 05/12/2022 [^] [^^] [^^^] [ответить]	+9 +/–
У, UTOUCH май та-ла-ла, Ю, ай дин-дин-донг

2.11, Аноним (11), 12:12, 05/12/2022 [^] [^^] [^^^] [ответить]	+1 +/–
нормальное название, fin - от слова финансы, eract - произносится как эрэкт, ну ты понял. Типа управляешь у себя такими финансами, что ты аж непроизвольно eract.

3.21, Аноним (21), 14:58, 05/12/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Fine rect

4.32, grinder (??), 11:49, 06/12/2022 [^] [^^] [^^^] [ответить]	+/–
> Fine rect Не, это больше похоже на название метода для отрисовки хороших таких прямоугольников.

1.4, Аноним (4), 11:59, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
В vim'e ничего не выявлено?

2.6, Илья (??), 12:00, 05/12/2022 [^] [^^] [^^^] [ответить]	+17 +/–
Выход вроде выявлен.

3.7, Аноним (7), 12:03, 05/12/2022 [^] [^^] [^^^] [ответить]	–2 +/–
Туда многие и войти то не осилили

3.10, Аноним (10), 12:11, 05/12/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Значит, это уязвимость.

2.9, Вирт (?), 12:09, 05/12/2022 [^] [^^] [^^^] [ответить]	+1 +/–
По идее та же уязвимость с ctags что и у emacs в vim тоже должна работать.

3.17, Аноним (17), 13:23, 05/12/2022 [^] [^^] [^^^] [ответить]	+/–
Но не работает?

4.30, Michael Shigorin (ok), 22:26, 05/12/2022 [^] [^^] [^^^] [ответить]	–1 +/–
Ну раз исправлена в emacs.

1.12, fuggy (ok), 12:17, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]

+4 +/–

Большинство таких ошибок из-за того что пользователи запускают файлы из непроверенного источника не глядя. Тем более когда приложение этому способствует и открывает
>".ipynb" без дополнительных подтверждений в режиме "isTrusted"

Понятно что сложно и долго проверять глазами большие файлы, но это не знаю что можно брать из любого источника и запускать. Вы же не запускаете исполняемые файлы скачанные из левого источника, не проверить хотя бы антивирусом или не сверив подпись и контрольную сумму. Не запускаете скрипты под рабочим пользователем. Это тоже самое что скачать скрипт с rm -rf, а потом жаловаться что терминал его запустил.

>Проблема вызвана отсутствием должного экранирования символов ".." в путях

Проблема есть в каждой второй программе. И почему-то единого решения способа обработки ".." не изобрели.

2.13, Аноним (3), 12:31, 05/12/2022 [^] [^^] [^^^] [ответить]	+2 +/–
Так называемые веб-программисты какают исходниками из непроверенного источника и запускат. Им даже не приходит в голову мысль качать исходники из проверенного источника

3.14, Без аргументов (?), 12:51, 05/12/2022 [^] [^^] [^^^] [ответить]	+/–
например, вот: что хотят, то и суют в скрипт пост-установки (20млн скачиваний в неделю): https://github.com/medikoo/es5-ext/blob/main/_postinstall.js а еще интереснее глянуть в контрибьютеров

4.23, Вы забыли заполнить поле Name (?), 16:53, 05/12/2022 [^] [^^] [^^^] [ответить]	+1 +/–
Самое забавное, что они думают, что это что-то изменит.

Часть нити удалена модератором

6.27, Вы забыли заполнить поле Name (?), 20:12, 05/12/2022 [ответить]	+/–
> А ты думаешь нет? Нет. Левый выхлоп в консоль при установке модуля или замена тайтла (как сделали в deadbeef) вызывает только раздражение у нормальных людей.

4.26, Аноним (3), 18:37, 05/12/2022 [^] [^^] [^^^] [ответить]	+/–
Хотя бы файлы с диска не удаляет и то хорошо.

5.28, Вы забыли заполнить поле Name (?), 20:14, 05/12/2022 [^] [^^] [^^^] [ответить]	+/–
> Хотя бы файлы с диска не удаляет и то хорошо. А вот этого исключать нельзя. Поэтому всех этих людей стоит взять на карандаш.

3.16, Аноним (3), 13:20, 05/12/2022 [^] [^^] [^^^] [ответить]	+/–
*Качают

3.29, Вы забыли заполнить поле Name (?), 20:17, 05/12/2022 [^] [^^] [^^^] [ответить]

+1 +/–

> Так называемые веб-программисты какают исходниками из непроверенного источника и запускат.
> Им даже не приходит в голову мысль качать исходники из проверенного источника

Да ладно. Также делает самый безопасный язык в мире https://www.rust-lang.org/tools/install

> curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

4.34, Аноним (-), 09:19, 07/12/2022 [^] [^^] [^^^] [ответить]	+/–
Нннууу, учитывая что ты один хрен без верификации с них качать удумал, чем тебе шелскрипты так уж хуже? :)

2.15, Аноним (15), 12:52, 05/12/2022 [^] [^^] [^^^] [ответить]	+3 +/–
Какое замечательное перекладывание с больной головы на здоровую. Программа падает при открытии файла? Ну так не открывайте этот файл, это не программа плохая, это файл плохой.

1.20, Аноним (21), 14:58, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Так это разве уязвимости. Это хипстер-фичи.

1.22, Аноним (22), 15:46, 05/12/2022 [ответить] [﹢﹢﹢] [ · · · ]

+/–

"Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:")."

во блин, а почему не спрашивает "вы доверяете файлам в этой папке" как при открытии других файлов? хм

игнорирование участников | лог модерирования

Добавить комментарий

Текст: