Обзор программы секции Development предстоящего PHDays 2 и наиболее интересных докладов для разработчиков и DevSecOps'ов ✍️

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-32964, обнаруженная в lobe-chat в версиях до 0.150.5, приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в возможности злоумышленника создавать вредоносные запросы, вызывающие SSRF без входа в систему. Данная уязвимость позволяла злоумышленнику взаимодействовать с сервисами внутренней сети. В исправлении была добавлена проверка получаемого адреса на принадлежность к адресам внутренней сети с помощью метода isPrivate(...) пакета node-ip.

🐛 CVE-2024-32002, выявленная в git в версии 2.45.0, приводит к Remote Code Execution (RCE). Уязвимость обусловлена возможностью злоумышленника создавать репозитории с подмодулями таким образом, чтобы использовать ошибку в Git, из-за которой его можно обманом заставить записывать файлы не в рабочее дерево подмодуля, а в .git/ каталог. В исправлении были изменены функции clone_submodule() и dir_contains_only_dotgit() путем добавления проверки существования и отсутствия каталога подмодуля, а также наличия в папке назначения только директории или файла .git.

🐛 CVE-2024-34359, обнаруженная в llama_cpp_python в версиях с 0.2.30 до 0.2.71, приводит к Server-Side Template Injection (SSTI). Проблема заключалась в возможности злоумышленника внедрения в шаблон на стороне сервера через полезную нагрузку поля Metadata при загрузке файлов с расширением .gguf. В исправлении было изменено окружение для обработки шаблонов с использованием метода ImmutableSandboxedEnvironment().

🐛 CVE-2024-34082, выявленная в Grav в версиях до 1.7.46, приводит к Arbitrary File Reading. Уязвимость обусловлена возможностью злоумышленника с низким уровнем привилегий и правами на редактирование страниц читать любые файлы сервера, используя синтаксис Twig. В исправлении функция read_file(), которая используется для чтения файлов, была внесена в "черный" список $bad_twig.

🐛 CVE-2024-22120, обнаруженная в Zabbix c версии 6.0.0 по 6.0.27, приводит к SQL-Injection. Проблема заключалась в возможности злоумышленника влиять на SQL-запрос через параметр clientip, что могло привести к повышению привилегии от пользователя до администратора. Подробная информация об CVE-2024-22120 с примерами реализации различных векторов атак, рекомендациями по обновлению содержится в официальном Security Advisory.

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-34710, обнаруженная в wiki.js в версиях до 2.5.302, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить вредоносный JavaScript код, который будет выполняться на стороне клиента. В исправлении выражения в фигурных скобках ({}) оборачивается тегом <p> и c атрибутом v-pre, который для Vue устанавливает запрет компиляции выражения.

🐛 CVE-2024-34071, выявленная в Umbraco-CMS в версиях от 8.18.5 до 8.18.14, приводит к Open redirect. Уязвимость обусловлена возможностью злоумышленника, прошедшего проверку подлинности, использовать уязвимый эндпоинт для открытого перенаправления. В исправлении была добавлена функция IsWellFormedWebPath(), которая определяет, правильно ли сформирован предоставленный путь в соответствии с указанным в аргументах UriKind.Relative.

🐛 CVE-2024-29651, обнаруженная в apidevtools/json-schema-ref-parser в версиях 11.0.0 и 11.1.0, приводит к Prototype Pollution. Проблема заключалась в возможности злоумышленника манипулировать прототипом объекта и влиять на поведение объектов, которые были унаследованы от этого прототипа. В исправлении была добавлена фильтрация данных, которые проходят слияние, путем применения "черного" списка c недопустимыми значениями "__proto__", "constructor", "prototype".

🐛 CVE-2024-35220, выявленная в fastify/session в версиях до 10.8.0, приводит к Identification and Authentication Failures. Уязвимость обусловлена возможностью злоумышленника использовать устаревшие файлы cookie для доступа к сеансам с истекшим сроком действия. В исправлении ввели дополнительное поле originalExpires и его проверку на превышение относительно текущей даты, по результатам которого производится сброс сессии.

🐛 CVE-2024-21683, обнаруженная в Confluence Data Center and Server в версии 8.9.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности аутентифицируемого злоумышленника выполнить произвольный код. Подробная информация о CVE-2024-21683, затронутых версиях, рекомендациях по обновлениям содержится в официальном Security Advisory.

🤕 Почему мы не переживаем из-за блокировки доступа к Docker Hub в России

Сегодня стало известно, что репозиторий для хранения контейнеров, созданных с помощью Docker, заблокирован для пользователей из России.

😲 Чем это грозит?

На сегодня практически ничем: многие компании к этому приготовились еще два года назад и настроили кэширующие зеркала реестров образов.

Однако если у вас был корпоративный аккаунт, привязанный к российскому юридическому лицу, то могут возникнуть проблемы с доступами к вашим проектам (придется поменять настройки аккаунта).

🤔 Что делать?

Создать свое локальное хранилище образов контейнеров на базе решений с открытым исходным кодом, таких как GitLab, Harbor, Artifactory, с возможностью проксирования образов с Docker Hub. Так можно решить проблемы не только с доступом, но и с ограничением на вызовы API.

🎁 А как лучше и безопаснее?

С помощью PT Container Security вы можете подключить и настроить сканирование прокси-реестров в продукте, а при помощи интеграции через вебхуки можно настроить удаление образов с критически опасными уязвимостями. Подробнее — в чате команды нашего продукта.

Также отметим, что на сам движок Docker Engine (Apache 2.0) ограничения не распространяются.

@Positive_Technologies