URL解析錯(cuò)誤導(dǎo)致DoS、RCE等
研究人員警告說(shuō),由于16個(gè)不同的URL解析庫(kù)之間的不一致而導(dǎo)致的8個(gè)不同的安全漏洞,可能導(dǎo)致多種Web應(yīng)用程序中的拒絕服務(wù)(DoS)情況、信息泄漏和遠(yuǎn)程代碼執(zhí)行(RCE)。
這些漏洞是在為各種語(yǔ)言編寫(xiě)的第三方Web包中發(fā)現(xiàn)的,并且像Log4Shell和其他軟件供應(yīng)鏈威脅一樣,可能已被導(dǎo)入到數(shù)百或數(shù)千個(gè)不同的Web應(yīng)用程序和項(xiàng)目中。受影響的是Flask(一個(gè)用Python編寫(xiě)的微型Web框架)、Video.js(HTML5視頻播放器)、Belledonne(免費(fèi)的VoIP和IP視頻電話)、Nagios XI(網(wǎng)絡(luò)和服務(wù)器監(jiān)控)和Clearance(Ruby密碼驗(yàn)證)。
URL解析是將Web地址分解為其底層組件的過(guò)程,以便正確地將流量路由到不同的鏈接或不同的服務(wù)器。可用于各種編程語(yǔ)言的URL解析庫(kù)通常被導(dǎo)入到應(yīng)用程序中以實(shí)現(xiàn)此功能。
來(lái)自Claroty Team82研究部門(mén)和Synk的研究人員在周一的一份分析報(bào)告中寫(xiě)道:“URL實(shí)際上是由五個(gè)不同的組件構(gòu)成的:方案、權(quán)限、路徑、查詢和片段?!薄懊總€(gè)組件都扮演著不同的角色,它決定了請(qǐng)求的協(xié)議、持有資源的主機(jī)、應(yīng)該獲取的確切資源等等。”
URL庫(kù)混淆會(huì)干擾正確的驗(yàn)證,就像Clearance漏洞一樣。研究人員指出,Clearance(Ruby的Rails框架中一個(gè)廣泛應(yīng)用的第三方插件,可以實(shí)現(xiàn)簡(jiǎn)單安全的電子郵件和密碼身份驗(yàn)證)中的易受攻擊的函數(shù)是“return_to”。此函數(shù)在登錄/注銷(xiāo)過(guò)程之后調(diào)用,并且應(yīng)該將用戶安全地重定向到他們之前請(qǐng)求的頁(yè)面。但是,如果可以說(shuō)服目標(biāo)單擊具有以下語(yǔ)法的URL,則可將其破壞。