Уязвимость объектов через DL и Fiddle в Ruby (CVE-2013-2065)

Опубликовал usa 14-05-2013
Перевел: gazay

Уязвимость в DL и Fiddle в Ruby, где испорченные строки могут быть использованы системными вызовами, не смотря на установленный в Ruby уровень $SAFE. Этой уязвимости назначен CVE идентификатор CVE-2013-2065.

Влияние

Нативные функции, действующие в Ruby с DL или Fiddle, не проверяют испорченности выставленных значений поступающих в объекты. Как результат, испорченные объекты могут быть приняты как обычные, когда как должна быть брошена ошибка SecurityError.

Пример DL кода будет выглядеть как-то так:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys_cfunc = DL::CFunc.new(handle['system'], DL::TYPE_INT, 'system')
  sys       = DL::Function.new(sys_cfunc, [DL::TYPE_VOIDP])
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Пример Fiddle кода будет выглядеть как-то так:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                             [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Все пользователи, использующие затронутые релизы, должны либо обновить, либо использовать один из обходных путей немедленно.

Заметьте, что это не отменит использования числовых отступов в памяти как значения указателей. Числа не могут быть загрязнены, так что код создающий числовой отступ в памяти, не может быть проверен. Например:

def my_function(input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                             [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call input
end

$SAFE = 1
user_input = "uname -rs".taint
my_function DL::CPtr[user_input].to_i

В этом случае позиция в памяти передана и загрязненность объекта не может быть определена DL / Fiddle. В данном случае, пожалуйста проверяйте загрязненность пользовательского ввода перед тем как передавать позицию в памяти:

user_input = "uname -rs".taint
raise if $SAFE >= 1 && user_input.tainted?
my_function DL::CPtr[user_input].to_i

Обходные пути

Если вы не можете обновить Ruby, данный манкипатч может быть использован как обходной путь:

class Fiddle::Function
  alias :old_call :call
  def call(*args)
    if $SAFE >= 1 && args.any? { |x| x.tainted? }
      raise SecurityError, "tainted parameter not allowed"
    end
    old_call(*args)
  end
end

Затронутые версии

• Все версии ruby 1.9 до ruby 1.9.3 patchlevel 426
• Все версии ruby 2.0 до ruby 2.0.0 patchlevel 195
• транк ветка до ревизии 40728

ruby 1.8 версии не затронуты

Благодарность

Спасибо Vit Ondruch за сообщение о данной проблеме.

История

• Оригинал опубликован 2013-05-14 13:00:00 (UTC)