社区编辑申请
注册/登录
混合进制IP地址解析漏洞,Go,Rust语言net类库受影响
安全 漏洞
本周在DEF CON大会上,由多名安全研究人员披露十进制和八进制混合IP地址解析漏洞,多种语言受影响,包括Go和Rust的官方类库net。以及Python的标准库ipaddress。

本周在DEF CON大会上,由多名安全研究人员披露十进制和八进制混合IP地址解析漏洞,多种语言受影响,包括Go和Rust的官方类库net。以及Python的标准库ipaddress。

概述

Go和 Rust语言中常用的net库,受到混合格式IP 地址验证漏洞的影响。该漏洞源于库中对IP地址处理时候将八进制-十进制)格式混合格式的八进制的数据当作十进制有关。

所有使用这次基础库的应用程序可能会受到不确定的服务器端请求伪造(SSRF) 和远程文件包含(RFI) 漏洞的攻击。

因为该基础库被广使用,所以大量的Go,Rust网络应用都受到影响。

另外,Python 标准库ipaddress也受漏洞影响。

漏洞原理

漏洞CVE编号为CVE-2021-29922(Rust库)和 CVE-2021-29923(Golang库),主要在其同名类库net处理混合格式的IP地址,或者更具体地说,当十进制IPv4 地址包含数据以0开始时。

众所周知,IP地址可以用多种格式表示,包括十六进制和整数,尽管最常见的IPv4地址以十进制格式表示。

比如8.8.8.8

该地址可以用八进制格式表示为 0010.0010.0010.0010。

我们日常最常用的一个本地IP地址(回环地址,localhost)为127.0.0.1。 假如对其第一部分IP地址添加一个0,则0127.0.0.1 会被解析为啥呢?

我们在浏览器中输入这个地址。在火狐浏览器的地址栏中输入0127.0.0.1,浏览器将其自动转化为八进制格式 。

其他浏览器也是如此,比如谷歌Chrome:

根据IETF草案,如果前缀为“0”,则 IPv4 地址的部分可以解释为八进制。但是,在net库中,任何前置零的地址都被简单地剥离和丢弃。

在Golang和Rust的net模块中将IPv4地址的八位字节都被简单视为十进制。 因此,如果开发人员使用net来验证IP地址是否属于某个范围(例如,根据访问控制列表 (ACL) 解析IP列表),对于基于八进制的IPv4地址表示,结果可能会完全错误。

这样可能会导致应用程序中出现不确定的服务器端请求伪造 (SSRF)和远程文件包含(RFI)漏洞。

漏洞影响

由于net库在Golang和Rust语言中均为核心库,被大量应用所依赖,通过在Github上简单搜索,仅golang中依赖该库的代码文件超超过49w。

而且Go和Rust不是唯一受该漏洞影响的语言,还有Python语言的ipaddress 库 (CVE-2021-29921)、 netmask库 (CVE-2021-28918、CVE-2021-29418) 和等类似的库也受影响。

该系列漏洞大多都被评为有高或严重的严重性。

漏洞解决

目前 Golang 的 net 模块将补丁将在Golang 1.17 版中发布。

对于 Rust net里,也已经有一个修复程序已经合并:

请使用这些类库的同学,关注官方漏洞发布及时更新版本。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-16 17:02:49

微软智能云混合云Azure

2022-05-23 07:48:10

zabbix监控CentOS7

2022-06-25 21:22:30

编程Rust代码

2022-06-20 13:34:46

漏洞网络攻击

2022-06-27 12:44:34

RustLinux

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-30 09:07:52

2022-06-20 14:57:50

漏洞安全威胁

2022-06-23 14:03:26

混合ITCIOIT管理工具

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-28 09:26:25

Python配置文件

2022-06-27 08:07:13

Go语言互斥锁

2022-06-22 05:53:49

城域网广域网VXLAN

2022-06-28 09:34:24

可视化Python代码

2022-06-09 18:04:46

网络攻击网络安全

2022-06-30 10:56:18

字节云数据库存储

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-28 12:14:02

DockerLinux

2022-05-19 14:14:26

go语言限流算法

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号