د زنګ او ګو شبکې کتابتونونو کې زیانونه موندل د IP تایید مخه نیسي

په دې وروستیو کې د زیانونو په اړه معلومات خپاره شوي چې د ژبو معیاري کتابتونونو کې موندل شوي زنګ او لاړ شه ، کوم دي د IP پتې ناسم اداره کولو پورې اړه لري د ادرس تحلیل افعال کې د اکټال ارقامو سره.

د یادونې وړ ده چې ایدا زیانونه تاسو ته اجازه درکوي د معتبر ادرسونو تایید څخه مخنیوی وکړئ اوn غوښتنلیکونه ، د مثال په توګه ، د لوپ بیک انٹرفیس ادرسونو یا انټرنیټ فرعي شبکو ته د لاسرسي تنظیم کولو لپاره کله چې د سرور اړخ غوښتنې سپوفینګ بریدونه ترسره کیږي.

په دې دوه ژبو کې زیانونه د IP پتې تارونه په مشخصاتو کې واقعیت لري د صفر پراساس ، له هغه وخته چې تاسو یاست په تیوري کې دوی باید د اکټال شمیرو په توګه تشریح شي ، مګر ستونزه چې د دې خنډونو لامل کیږي دا ده چې ډیری کتابتونونه دا په پام کې نه نیسي او یوازې صفر له مینځه وړي ، پدې توګه دوی د ارزښت د لسیزې شمیرې په توګه پای ته رسوي.

د مثال په توګه ، پدې پوهیدلو لپاره چې پدې آفتونو کې د IP پتې څنګه تشریح کیږي ، په اوکټال کې 0177 شمیره په لسیزه کې 127 ده او پدې سره برید کونکی کولی شي د سرچینې غوښتنه وکړي چې ارزښت یې "0177.0.0.1" مشخص کړي ، کوم چې دا نه دی اخیستل شوی د اوکټال په توګه ، د دې لپاره لسیزه نښه "127.0.0.1" ده.

له همدې کبله د یو له ستونزمن کتابتونونو کارولو په قضیه کې ، غوښتنلیک به د ادرس واقعیت ونه پیژني 0177.0.0.1 په سب نیٹ 127.0.0.1 کې ، مګر په حقیقت کې ، کله چې غوښتنه لیږئ ، تاسو کولی شئ پته "0177.0.0.1" ته زنګ ووهئ کوم چې د غلط تشریح له امله ، د شبکې فعالیتونه به دا د 127.0.0.1 په توګه پروسس کړي. په ورته ډول ، د انټرنیټ ادرسونو ته لاسرسی د مختلف ارزښتونو په ټاکلو سره چالان او تایید کیدی شي ، کوم چې برید کونکی به د احتمالي استخراج لپاره ارزوي.

د اړخ لوري زنګ ، ستونزه د معیاري کتابتون "std :: net" تابع وموندل شوه او کوم چې دمخه د "CVE-2021-29922" لاندې لیست شوی دی. دا دا تشریح کوي د دې کتابتون د IP پتې پارسر د ارزښتونو په مخ کې یو صفر له مینځه وړي د ادرس ، مګر یوازې که چیرې له دریو څخه ډیر عددونه مشخص شوي نه وي ، د مثال په توګه ، "0177.0.0.1" به د ناسم ارزښت په توګه تشریح شي او غلط ځواب به په ځواب کې بیرته راستانه شي.

د زنګ-لینګ معیاري "خالص" کتابتون کې د اوکټل سټینګ ناسم تایید غیر مستند ریموټ برید کونکو ته اجازه ورکوي په ډیری برنامو غیر مشروع SSRF ، RFI ، او LFI بریدونه ترسره کړي چې په rust-lang std :: net پورې اړه لري. د IP پتې آکټیټ د اعتبار وړ IP پتې په توګه ارزولو پرځای پریښودل کیږي.

دا هم یادونه شوې چې غوښتنلیکونه چې std :: net :: IpAddr کتابتون کاروي کله چې مشخص ادرسونه تجزیه کړئ د کارونکي لخوا د SSRF بریدونو لپاره احتمالي حساس دي (د سرور اړخ غوښتنې سپوفینګ) ، RFI (د ریموټ فایل شمولیت) او BIA (د ځایی فایلونو شاملول). په ورته ډول ، یو برید کونکی کولی شي 127.0.026.1 ته ننوځي ، کوم چې واقعیا 127.0.22 دی

د مثال په توګه ، یو برید کونکی چې ویب غوښتنلیک ته د IP آدرس لیږي چې د std :: net :: IpAddr پراساس وي د آکټل ان پټ ډیټا دننه کولو سره د SSRF لامل کیدی شي یو برید کونکی کولی شي د استحصال وړ IP آدرسونه واستوي که چیرې آکټیټ 3 عددي ولري ، د لږترلږه استحصال وړ آکټیټ 08 سره چې د خدمت څخه انکار لامل کیږي او اعظمي ګټه اخیستونکي آکټیټ 099 چې د خدمت څخه انکار لامل هم کیږي. 

که تاسو غواړئ د دې زیان مننې په اړه نور پوه شئ په زنګ کې ، تاسو کولی شئ توضیحات چیک کړئ په لاندې لینک کې دا هم یادونه شوې چې زیان د زنګ 1.53.0 څانګې کې ټاکل شوی.

ژر ترژره هغه ستونزې ته چې اغیزه کوي د تګ لپاره ، دا یادونه وشوه چې دا د معیاري کتابتون (خالص) تابع دی او دا دمخه د CVE-2021-29923 لاندې لیست شوی. په تفصیل کې دا یادونه شوې غیر تصدیق شوي ریموټ برید کونکو ته اجازه ورکوي SSRF ، RFI او LFI بریدونه ترسره کړي په ډیری برنامو کې نامعلوم چې د ګولنګ په جوړ شوي شبکې پورې اړه لري. د پارسی سي ډي آر فعالیت. د CIDR انفرادي آکټیټونه د اعتبار وړ IP آکټیټونو په توګه د ارزولو پرځای له مینځه وړل کیږي.

د مثال په توګه ، یو برید کونکی ممکن د 00000177.0.0.1 ارزښت تیر کړي ، کوم چې کله په شبکه کې چیک کیږي. د پارس سیډر فعالیت به د 177.0.0.1/24 په توګه تجزیه شي ، نه 127.0.0.1/24. ستونزه پخپله د کوبرنیټس پلیټ فارم کې هم څرګندیږي. زیان د ګو نسخه 1.16.3 او بیټا نسخه 1.17 کې ټاکل شوی.

تاسو د دې په اړه ډیر څه زده کولی شئ د دې زیانمننې په اړه په لاندې لینک کې


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

لومړی د تبصره کولو لپاره وئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي.

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.