[NIXP] При использовании инструмента командной строки — «less» — можно выполнить произвольный код в системе

[Dmitry Shurupov]

Использование утилиты less для просмотра загруженного из сети контента может привести к выполнению удалённого кода. Об этом сообщил в списках рассылки инженер безопасности Google Мишал Залевски (Michal Zalewski). Казалось бы, такой простой инструмент как less, который только выводит содержимое файла в терминал и осуществляет по нему навигацию, безопасен. Изначально он рассчитан на использование текстовых файлов, однако в Ubuntu и CentOS поддерживается больше форматов, в том числе архивы, изображения и PDF. Это возможно благодаря использованию скрипта под названием lesspipe, он задействует различные сторонние инструменты для расширения списка поддерживаемых форматов. Эти инструменты, по словам Мишала Залевски, создавались без учёта возможности ввода вредоносного кода. Когда Залевски запустил программу для fuzzing-теста (инструмент проверки на уязвимость, который подставляет вредоносный ввод для приложений), направленную против архиватора cpio, используемого в lesspipe, то он быстро выявил ошибку памяти, которая может привести к выполнению произвольного кода. «Хотя это единственная ошибка в cpio, я не сомневаюсь, что в других утилитах lesspipe есть такие же, если не хуже», — говорит инженер. По мнению самого Мишала Залевски, проблема не относится к критическим, т.к. немногие пользователи будут открывать экзотические форматы скачанных файлов в less. И тем не менее ситуация создаёт потенциальную угрозу, а из-за того, что многие инструменты имеют длинную историю и написаны давно, их разработчики не смогут отреагировать достаточно быстро. Чтобы избежать проблемы здесь и сейчас, Залевски рекомендует удалить переменные окружения LESSOPEN и LESSCLOSE, если они заданы в системе.


оригинал на www.nixp.ru

[chitatel]

echo $LESSOPEN $LESSCLOSE
| /usr/bin/lesspipe %s /usr/bin/lesspipe %s %s

Debian|Ubuntu

да что ж ты такой дырявый и гнилой линупс

[azsx]

а у меня что то вывод пустой на 4 серверах, это что значит?

[Janik]

Что-то в последнее время стало больше новостей об уязвимостях в линуксе.

[azsx]

а зато на домашнем убунту есть проблема, обновился. Но обновление никак не помогло, такая же ошибка
Что теперь делать? Убирать переменные не понятно откуда?

Что-то в последнее время стало больше новостей об уязвимостях в линуксе.

может быть я ошибаюсь, но вроде проблем стало много не только в никс программах и технологиях. Стало вообще выявлятся огромное число багов, взломов, утечек везде. Почему так, хз, но сайты на друпале мне уже взломали, уследи за 100 сайтами, когда раньше особо и проблем то никогда не было.

[Bizdelnick]

Что-то в последнее время стало больше новостей об уязвимостях в линуксе.

Не гневите Столлмана: уязвимости не в linux, а в GNU!

обновление никак не помогло, такая же ошибка

А кто сказал, что это ошибка? Это всего лишь потенциально уязвимое место.

[chitatel]

а зато на домашнем убунту есть проблема, обновился. Но обновление никак не помогло, такая же ошибка
Что теперь делать? Убирать переменные не понятно откуда?

Ну. это и в самом деле не ошибка. "Это не баг, это фича".

Обнулите эти переменные, если Вас это реально беспокоит.

[MrClon]

может быть я ошибаюсь, но вроде проблем стало много не только в никс программах и технологиях. Стало вообще выявлятся огромное число багов, взломов, утечек везде. Почему так, хз, но сайты на друпале мне уже взломали, уследи за 100 сайтами, когда раньше особо и проблем то никогда не было.

Та вроде всегда и везде периодически находили критические баги. Всяческие ЭВМ используются всё больше, кода пишется больше, большее количество людей ищет ошибки, вот и растёт количество нежданьчиков. В общем пропорционально развитию.

[azsx]

Это всего лишь потенциально уязвимое место.

форумчане, вы сами будете убирать эти переменные? Я, например, данной командой, для просмотра необычных файлов не пользуюсь совсем.

Всяческие ЭВМ используются всё больше, кода пишется больше, большее количество людей ищет ошибки, вот и растёт количество нежданьчиков. В общем пропорционально развитию.

это мое личное мнение, но последнее время колличество нежданчиков увеличилось в разы. Я может и не прав.

[Bizdelnick]

вы сами будете убирать эти переменные?

Я - нет. У меня через них подсветка синтаксиса запилена.
А вообще, я не очень понял из новости, почему она написана про less. Если cpio уязвим, то он в равной степени уязвим и при запуске не через lesspipe, а любым другим способом. Например, если открыть такой же cpio-архив гуёвым архиватором, должна возникнуть ровно та же ошибка. Разве нет?

[drBatty]

А вообще, я не очень понял из новости, почему она написана про less.

на самом деле, таких "дыр" в Linux _очень_ много. А что поделать? "Автоматизация" и "безопасность" это взаимоисключающие параграфы: если у вас автоматически что-то там запускается само по себе, то уже _ваша_ забота следить за этим.

если открыть такой же cpio-архив гуёвым архиватором, должна возникнуть ровно та же ошибка. Разве нет?

конечно да.
Ну и vim тоже можно так настроить, да и вообще что угодно.