Опасность ошибок Perl недооценивалась?

Джорис Эверз (Joris Evers), CNET News.com
30 ноября, 2005

Уязвимости в приложениях, написанных на языке Perl, могут приводить не только к атакам на отказ в обслуживании, как считалось до сих пор, но и вызвать гораздо более серьезные проблемы.

Во вторник компания Dyad Security предупредила о так называемой «уязвимости форматирования строки» в Webmin, утилите веб-администрирования, написанной на языке Perl. Используя эту ошибку «нового класса», злоумышленник может полностью завладеть сервером, на котором исполняется уязвимое ПO. «В случае успешного исполнения кода при стандартной конфигурации такая атака может привести к полному овладению компьютером на уровне root».

Об уязвимостях форматирования строки известно давно, но прежде эксперты считали, что подобные ошибки в приложениях, написанных на Perl, нельзя использовать для дистанционного исполнения кода на целевой системе. Такие атаки считались возможными только в том случае, если приложение написано на более низкоуровневом языке программирования, таком как С.

«Возможно, это первая из уязвимостей форматирования строки нового типа, — говорит старший менеджер Symantec Security Response Оливер Фридрихс. — Раньше считалось, что таким способом можно вызвать только атаку на отказ в обслуживании. Теперь хакеры, конечно же, начнут пристально изучать их».

Perl, популярный язык сценариев, широко применяется для веб-приложений, часто на серверах с операционной системой Linux. С повышением безопасности самой операционной системы злоумышленники начали искать способы вторжения в системы через веб-приложения и другое прикладное ПО.

«Учитывая общую нацеленность на веб-приложения, такая возможность использования уязвимостей форматирования строки дает в руки атакующим еще один инструмент, — говорит менеджер по средствам защиты компании eEye Стив Манзюйк. — Веб-серверы служат хорошей мишенью из-за большого количества скриптов на Perl, доступных анонимным удаленным пользователям».

Symantec и eEye не смогли независимо подтвердить утверждение фирмы Dyad, которую поддержал поставщик секьюрити-ПО Immunity. Symantec верит в его справедливость, но Манзюйк из eEye пока не убежден. «Обычно я отношусь к подобным вещам с долей скептицизма, пока сам не увижу доказательство. Если окажется, что это правда, это может стать очень серьезной проблемой», — сказал он.

Для защиты своих систем пользователи Webmin прежде всего должны установить последнюю версию утилиты, говорит Фридрихс. «В долгосрочном плане необходимо убедиться в правильном использовании строк форматирования в своих приложениях».

Строки форматирования — это способ описания формата выходных данных в приложении. Уязвимость появляется при неправильном использовании программистом строки форматирования. В результате злоумышленник получает возможность считывать и записывать содержимое памяти системы, исполняющей приложение, и в конечном итоге выполнить в ней произвольный код. Пока не ясно, какое влияние окажет уязвимость строки форматирования, говорит Фридрихс. «Существует опасность, что на самом деле это (уязвимость Webmin) лишь первая из большого числа уязвимостей строки форматирования, которые мы можем увидеть в будущем». Один из способов решения проблемы, по его словам, заключается в том, чтобы разработчики Perl боролись с уязвимостями строки форматирования в самом Perl.