Обхід таїнтування об'єкта в DL та Fiddle в Ruby (CVE-2013-2065)

Опублікував usa 14-05-2013
Переклав: Andrii Furmanets

Є вразливість у DL та Fiddle в Ruby, де таїнтовані рядки можуть бути використані системними викликами незалежно від рівня $SAFE, встановленого в Ruby. Цій вразливості присвоєно ідентифікатор CVE CVE-2013-2065.

Вплив

Нативні функції, виставлені до Ruby з DL або Fiddle, не перевіряють значення таїнтування , встановлені на об’єктах, переданих. Це може призвести до прийняття таїнтованих об’єктів як вхідних даних, коли повинен бути викликаний виняток SecurityError.

Зачеплений код DL виглядатиме приблизно так:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys_cfunc = DL::CFunc.new(handle['system'], DL::TYPE_INT, 'system')
  sys       = DL::Function.new(sys_cfunc, [DL::TYPE_VOIDP])
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Зачеплений код Fiddle виглядатиме приблизно так:

def my_function(user_input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                             [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call user_input
end

$SAFE = 1
my_function "uname -rs".taint

Всі користувачі, які запускають зачеплений випуск, повинні або оновитися, або використовувати один з обхідних шляхів негайно.

Зверніть увагу, що це не запобігає використанню числових зміщень пам’яті як значень покажчика. Числа не можуть бути таїнтованими, тому код, який передає числове зміщення пам’яті , не може бути перевірений. Наприклад:

def my_function(input)
  handle    = DL.dlopen(nil)
  sys = Fiddle::Function.new(handle['system'],
                             [Fiddle::TYPE_VOIDP], Fiddle::TYPE_INT)
  sys.call input
end

$SAFE = 1
user_input = "uname -rs".taint
my_function DL::CPtr[user_input].to_i

У цьому випадку передається місце розташування пам’яті, і таїнтування об’єкта не може бути визначено DL / Fiddle. У цьому випадку, будь ласка, перевірте таїнтування вхідних даних користувача перед передачею місця розташування пам’яті:

user_input = "uname -rs".taint
raise if $SAFE >= 1 && user_input.tainted?
my_function DL::CPtr[user_input].to_i

Обхідні шляхи

Якщо ви не можете оновити Ruby, цей monkey patch може використовуватися як обхідний шлях:

class Fiddle::Function
  alias :old_call :call
  def call(*args)
    if $SAFE >= 1 && args.any? { |x| x.tainted? }
      raise SecurityError, "tainted parameter not allowed"
    end
    old_call(*args)
  end
end

Зачеплені версії

• Всі версії ruby 1.9 до ruby 1.9.3 рівня патчу 426
• Всі версії ruby 2.0 до ruby 2.0.0 рівня патчу 195
• до ревізії trunk 40728

версії ruby 1.8 не зачеплені.

Подяка

Дякуємо Vit Ondruch за повідомлення про цю проблему.

Історія

• Спочатку опубліковано 2013-05-14 13:00:00 (UTC)