При использовании инструмента командной строки — «less» — можно выполнить произвольный код в системе
0
Использование less может поставить систему под ударИллюстрация с сайта flickr.com
Использование утилиты less для просмотра загруженного из сети контента может привести к выполнению удалённого кода. Об этом сообщил в списках рассылки инженер безопасности Google Мишал Залевски (Michal Zalewski).
Казалось бы, такой простой инструмент как less, который только выводит содержимое файла в терминал и осуществляет по нему навигацию, безопасен. Изначально он рассчитан на использование текстовых файлов, однако в Ubuntu и CentOS поддерживается больше форматов, в том числе архивы, изображения и PDF. Это возможно благодаря использованию скрипта под названием lesspipe, он задействует различные сторонние инструменты для расширения списка поддерживаемых форматов. Эти инструменты, по словам Мишала Залевски, создавались без учёта возможности ввода вредоносного кода.
Когда Залевски запустил программу для fuzzing-теста (инструмент проверки на уязвимость, который подставляет вредоносный ввод для приложений), направленную против архиватора cpio, используемого в lesspipe, то он быстро выявил ошибку памяти, которая может привести к выполнению произвольного кода. «Хотя это единственная ошибка в cpio, я не сомневаюсь, что в других утилитах lesspipe есть такие же, если не хуже», — говорит инженер.
По мнению самого Мишала Залевски, проблема не относится к критическим, т.к. немногие пользователи будут открывать экзотические форматы скачанных файлов в less. И тем не менее ситуация создаёт потенциальную угрозу, а из-за того, что многие инструменты имеют длинную историю и написаны давно, их разработчики не смогут отреагировать достаточно быстро. Чтобы избежать проблемы здесь и сейчас, Залевски рекомендует удалить переменные окружения LESSOPEN и LESSCLOSE, если они заданы в системе.
Постоянная ссылка к новости: http://www.nixp.ru/news/12973.html. Никита Лялин по материалам pcworld.com.
© nixp
