abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 15:22 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 100 (pdf), HackSpace 37 (pdf) a Wireframe 44 (pdf). Vydán byl také dvousetstránkový The Official Raspberry Pi Handbook 2021 (pdf).

Ladislav Hagara | Komentářů: 1
včera 14:55 | Nová verze

Byla vydána nová verze 2.13 proprietárního multiplatformního 3D enginu UNIGINE (Wikipedie) pro tvorbu počítačových her, simulátorů, systémů virtuální reality nebo i benchmarků. Přehled novinek na YouTube a v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
včera 09:00 | Nová verze

Armbian, tj. operační systém založený na Debianu a Ubuntu pro jednodeskové počítače na platformě ARM, byl vydán ve verzi 20.11. Její kódové jméno je Tamandua. Pro většinu desek byl Linux povýšen na verzi 5.9.y. U-Boot na verzi 2020.10.

Ladislav Hagara | Komentářů: 0
včera 08:00 | Nová verze

Desktopové prostředí Cinnamon má novou verzi 4.8. Změny jsou především inkrementální, např. různé opravy chování appletů v panelu, ale také aktualizace závislosti na mozjs (nyní aspoň 78), kvůli které jinak hrozilo odstranění balíčků z Debianu.

Fluttershy, yay! | Komentářů: 3
26.11. 20:22 | Nová verze

Po téměř čtyřech měsících vývoje od vydání verze 246 byla vydána nová verze 247 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 15
26.11. 17:55 | Nová verze

Byla vydána verze 6.3 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůraznit lze integraci s Proxmox Backup Serverem.

Ladislav Hagara | Komentářů: 4
26.11. 17:33 | Nová verze

Po pěti letech od vydání verze 7.0.0 byla vydána nová major verze 8.0.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Nejnovější větev PHP přináší celou řadu nových novinek a vylepšení. Vydána byla také příručka pro přechod z předchozích verzí.

Ladislav Hagara | Komentářů: 19
26.11. 13:33 | Nová verze

Björn Ståhl vydal novou verzi 0.6 svého vlastního display serveru, herní enginu a realtimového multimediálního frameworku v jednom s názvem Arcan a desktopového prostředí pro Arcan s názvem Durden. Přidána byla celá řada nových vlastností. Jejich představení na YouTube.

Ladislav Hagara | Komentářů: 3
26.11. 07:00 | Nová verze

Byla vydána nová verze 28.16.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání. Řešeno je také několik bezpečnostních chyb.

Ladislav Hagara | Komentářů: 9
26.11. 01:11 | Nová verze

Byla vydána nová stabilní verze 2.91 svobodného 3D softwaru Blender. Přehled novinek v oznámení o vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
Jak nakládáte s řetězovými e-maily?
 (6%)
 (41%)
 (3%)
 (2%)
 (3%)
 (9%)
 (57%)
Celkem 301 hlasů
 Komentářů: 8, poslední 16.11. 22:50
Rozcestník

Bezpečnostní chyba v Nette

V Nette (Wikipedie), tj. open source frameworku pro tvorbu webových aplikací v PHP, byla nalezena a opravena bezpečnostní chyba CVE-2020–15227 potenciálně umožňující vzdálené spuštění kódu.

3.10. 16:22 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

3.10. 20:41 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Nie len potencialne ale normalne sa tam da spustit takmer akykolvek PHP kod, staci ho vlozit do GET parametru. Otestovane.
3.10. 21:26 zzz
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
No to je docela velky fuck up. Zajimalo by me jestli to bylo zpusobene Grudlovym diletanstvim nebo nejakou super "ficurou" PHP.
xkucf03 avatar 4.10. 00:37 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Nechci zveřejňovat přesný postup zneužití chyby a doufám, že to ani nikdo jiný neudělá.

Tohle je pro mne bezcenný článek a zprávička. Těšil jsem se, že se dozvím detaily a třeba i na co si dávat pozor, ale nic.

Pokud jde o uživatele Nette, tak k těm, to snad doputuje jako normální bezpečnostní aktualizace případně e-mailem.

Když už psát články a zprávičky, tak ať se z toho člověk aspoň něco naučí – tzn. rozbor, jak chyba funguje, proč k ní došlo a jak ji příště neopakovat. Stejně tak by se hodilo napsat, jakou metodu použil ten, kdo chybu objevil (jestli používal nějaký automatický software na hledání chyb, nebo jestli automatizovaně analyzoval zdrojáky nebo jestli to hledal ručně…).

Alespoň ne v dohledné době, protože by tím způsobil ostatním nepříjemnosti a zpronevěřil se duchu open source.

Tohle píše člověk, který tvrdí, že open source je komunismus a nefunguje…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
4.10. 00:46 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Nebo jestli třeba není něco, co by se dalo nakrmit do mod_security, a ochránit tak weby lidí, co si to v životě neaktualizují.
Quando omni flunkus moritati
4.10. 07:28 azurIt | skóre: 34 | blog: zatial_bez_mena
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Do nasho WAFu sme hned pridali blokujuce pravidlo. Autora Nette som v case, ked chybu zverejnil v mailing liste, kontaktoval s ponukou, aby mi pomohol dane pravidlo v modsecurity doladit (kedze nie som expert na interne fungovanie Nette) s tym, ze mu ho potom dam a on ho moze zdarma ponuknut svojim klientom/pouzivatelom. Vobec nereagoval.
xkucf03 avatar 7.10. 16:18 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette

Dle #18 by mělo stačit zablokovat jedno URL nebo URL odpovídající jednomu regulárnímu výrazu. Což se dá udělat na nějaké společné reverzní proxy nebo v tom ModSecurity. Tedy alespoň pokud tento GET požadavek je jediný způsob, jak tuto chybu zneužít.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jendа avatar 4.10. 06:24 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Jn. Kdyby to někdo chtěl reverzovat z patche, tak tady je to dobře izolované.
4.10. 14:19 Odin1918 | skóre: 5 | blog: Valhalla
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Php a grudl :-D :-D :-D

<?php die("php");

Salamek avatar 5.10. 05:12 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Tak jsem to rychle omrkl a jedna se o neosetreny vstup do call_user_func_array pri pouziti App\Presenters\MicroPresenter jako rodice presenteru aplikace...
Takze aplikace pouzivajci plnotucny Nette\Application\UI\Presenter by mely byt ?ok?
Taky moc nechapu tu snahu o utajeni detailu chyby, chyba je tak tristni a neni problem najit jeji opravu v diffu... tim myslim ze kdokoliv ma schopnosti danou chybu zneuzit bude take automaticky mit schopnosti si ji dohledat a pochopit jak se da zneuzit...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
Salamek avatar 5.10. 05:38 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Tak oprava... neni v bezpeci zadna instalace Nette... App\Presenters\MicroPresenter se da spustit i kdyz z nej zadny pouzivany presenter nededi... da se hacknout temer vetsina nette instalaci pres blbej GET request... zrovna jsem si z hecu hackl par mych projektu v produkci... Tak se dneska asi nevyspim... fuck
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
5.10. 12:34 vencis
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Muzes sem dat ten GET request ?
5.10. 14:27 Gabron
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Take bych to rad odzkousel. Mohl by jsi to postnout? Mam par projektu na kterych se mi zda, ze dira neni...?
5.10. 20:54 ~~°;;{[ 1337 h4xX0Rr ]};;°~~
Rozbalit Rozbalit vše Re: Bezpečnostní informační služba hledá nové pracovníky se specializací na nelegální ruskou fonografii
Napiš sem URL těch projektů, já ti to pořádně votestuju!
6.10. 17:05 uhel
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Klobasa nic nema. Jen haze plky chytrolin.
Salamek avatar 7.10. 14:47 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Mam udelany i testovaci script... ale nez pustim nejake detaily, chci tomu dat jeste cas az si lidi stihnout opravit svuj shit
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
6.10. 21:07 survik1
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Potvrzuji, že chyba je ve všech app bez ohledu na (ne)používání MicroPresenteru. GET request zde dávat nebudu, není potřeba, aby byly příkazy takhle lehce dohledatelný. Kód každopádně umožňuje i kompletní ovládnutí pc ... Takže aktulizujte a aktulizujte, tohle je fakt průser.
6.10. 22:21 David Grudl
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Před lety jsem se totálně zboural, a pak dostal neodolatelnou chuť jít něco doprogramovat v Nette. Jsou chvíle, které provozovatelům webů fakt nezávidím.
Salamek avatar 7.10. 16:07 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Ahoj, udelal jsem testovaci script pro jednoduche overeni

https://salamek.cz/nette-test.php?url=https://cvc.cz

misto https://cvc.cz dej domenu sveho webu
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
Jendа avatar 7.10. 20:23 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Kdo nemá nasetupovanej webserver s access logem a chce vidět co to dělá:
78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /nette.micro?callback=file_put_contents&filename=delete_me_96c9ce10c6293b869039493c9d727263.php&data=%3C%3Fphp+echo+base64_decode%28%27OTZjOWNlMTBjNjI5M2I4NjkwMzk0OTNjOWQ3MjcyNjM%3D%27%29%3B+%40unlink%28%27delete_me_96c9ce10c6293b869039493c9d727263.php%27%29%3B+%2F%2FNette+CVE-2020-15227+test+tool+https%3A%2F%2Fsalamek.cz%2Fnette-test.php%2C+if+you+see+this+file%2C+you+should+update+nette%2Fapplication+ASAP HTTP/1.0" 404 341 "-" "-"
78.80.161.207 ceskaprehrada.cz - [07/Oct/2020:20:22:15 +0200] "GET /delete_me_96c9ce10c6293b869039493c9d727263.php HTTP/1.0" 404 341 "-" "-"
Jendа avatar 7.10. 20:27 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Pozn. nevím jestli to není klam a další stage nepřijde když na to první nějak konkrétně odpovím :-), instalovat Nette se mi kvůli tomu fakt nechce (používal jsem jenom samostatné Nette Form. Taky nevím co se stane když nemáte rewrite na tu URL.

Dále jsem prošel access log a nikdo nic s "nette" nepožadoval, takže nevypadá, že by se to masově skenovalo.
Salamek avatar 8.10. 14:46 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Na dalsi stage se jde vzdy... odpoved je dulezita protoze kdyz je hack uspesny app spadne do 500 a jakmile na to budes "odpovidat jinak" tak to znamena ze jsi tomu hacku uspesne zabranil tak jako tak... Samozrejme ten test neni 100% pocita totiz se zapnutymi "nice urls" a defaultnim formatem nice urls v nette... Mohl bych to jeste upravit a pouzivat nazev presenteru v get parametru...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
8.10. 21:03 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Tak to stihl zazáplatovat dokonce i u Vaška (kontext [1, 2], kdyby někdo nevěděl).
5.10. 15:44 BoneFlute | skóre: 1
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v Nette
Já ho jako člověka nemám rád. Ale jako programátora ho obdivuju. Příkladný přístup k chybám. Respekt.

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.