Krytyczna wada na serwerze FB usunięta. Znalazca luki zostaje nagrodzony

06-09-2018, 23:58

Krytyczna luka, umożliwiająca zdalne wykonanie kodu na serwerze Facebooka, została niedawno załatana po tym, jak analityk bezpieczeństwa Daniel „Blaklis” Le Gall zgłosił ją, przedstawiając proof-of-concept (PoC).

Luka została wykryta w niestabilnej usłudze Sentry (aplikacji wieloplatformowej mogącej gromadzić logi i debugować aplikacje napisane w języku Python), do której napisania wykorzystano bibliotekę Django.

Sporadyczne awarie aplikacji ujawniły, że w Django nie został wyłączony tryb debugowania, w następstwie czego ślad stosu zwracał informacje o nazwach plików cookie sesji, opcjach i używanym serializatorze (Pickle).

Analitykowi udało się ujawnić tajny klucz systemowy używany przez Django, który nie był dostępny w śladzie stosu. Co dokładniej się stało? Le Gall przekazał, że lista SENTRY_OPTIONS zawiera klucz o nazwie system.secret-key, używany do podpisywania sesji. Jeśli zostanie on zagrożony, ważne jest to, aby został odnowiony, ponieważ w przeciwnym razie, można łatwo przejąć sesje użytkownika.

Analityk był w stanie sfałszować własne ciasteczka i zastąpić nimi ciasteczka Sentry, w zasadzie uruchamiając dowolny kod na serwerze. Aby wykazać poprawność koncepcji, wprowadzone zostało 30-sekundowe opóźnienie ładowania strony.

Jakkolwiek cyberprzestępcy mogli wykorzystać tę lukę do kradzieży danych, analityk stwierdził, że żadne dane użytkownika nie znajdowały się na serwerze, który został wyłączony do czasu wdrożenia poprawki. Analityk bezpieczeństwa zdobył zaś nagrodę w wysokości 5 tys. dol.

Źródło: Bitdefender


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.