Потенциальные проблемы с безопасностью при использовании утилиты less

24 ноября 2014 года

Wikinews-logo-ru.svg

Михал Залевский (Michal Zalewski), известный эксперт по компьютерной безопасности, работающий в Google Security Team, опубликовал предупреждение о возможности скрытой эксплуатации уязвимостей в различных обработчиках контента, при использовании утилиты less. Во многих дистрибутивах Linux, включая CentOS и Ubuntu, для выводимого через less контента используются скрипты lesspipe, которые осуществляют вызов сторонних утилит для преобразования различных форматов в читаемый вид. В том числе вызываются isoinfo, iconv, groff, troff, grotty, man и cpio.

Проблема заключается в том, что многие из таких утилит потенциально уязвимы, а использование less, который по умолчанию применяется в различных программах для постраничного вывода на экран, может привести к неосознанной передаче данным утилитам внешних непроверенных данных, которые могут быть специально адаптированы для проведения атаки. Для демонстрации сути атаки подготовлены специально оформленные архив cpio и образ iso, просмотр которых через less приводит к краху. В качестве решения проблемы предлагается уйти от практики установки в дистрибутивах дополнительных обработчиков через переменные окружения LESSOPEN и LESSCLOSE.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Потенциальные проблемы с безопасностью при использовании утилиты less», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Потенциальные проблемы с безопасностью при использовании утилиты less