📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Очередной обзор security-заголовков HTTP. Краткий и неполный, но для того, чтобы погрузиться в тему — вполне. Btw, более детально изучить упомянутый в обзоре HSTS можно в ещё одной свежей статье от Sucuri.

📰 Достаточно подробный разбор внутреннего устройства TLS пополнился продолжением.

📰 Небольшой, но годный гайд по генерации криптографически-устойчивых последовательностей случайных чисел.

📰 Описание техник злонамеренного использования GhostScript.

📰 Детальный разбор нашумевшей на прошлой неделе атаки "HTTP/2 Rapid Reset".

📰 Очередной райтап от AP Security по прохождению заданий на виртуалках TryHackMe (на этот раз, "Enterprise").

📰 И, в завершение, два авторских райтапа с разбором интересных bugbounty-уязвимостей: в CloudTips/CloudPayments, и в FortiNAC.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-44487 в протоколе HTTP/2. Проблема связана с дизайном протокола HTTP/2 и касается возможности одностороннего сброса потока отправкой RST_STREAM, что в итоге позволяет создавать неограниченное количество новых потоков для сервера и приводит к отказу в обслуживании. Многие разработчики библиотек, реализующих протокол HTTP/2, уже добавляют механизмы контроля количества новых потоков (клон Nginx tengine, jetty, envoy, пакет go x/net/http2 и т.д). Ссылку на подробный разбор ищите в нашем предыдущем новостном посте.

🐛 CVE-2023-36820 в платформе Micronaut Security до версий 3.1.2, 3.2.4, 3.3.2, 3.4.3, 3.5.3, 3.6.6, 3.7.4, 3.8.4, 3.9.6, 3.10.2 и 3.11.1 приводит к обходу процесса валидации ID токена. Проблема заключается в отсутствии проверки значения aud на соответствие идентификатору клиента при условии, что в настройках значение micronaut.security.authentication выставлено в idtoken, а также значение iss совпадает со значением текущего эмитента приложения. В патче скорректирована логика валидации токена через использование логического оператора "и" ( && ) вместо "или" ( || ).

🐛 CVE-2023-44393, выявленная в приложении Piwigo до версии 14.0.0beta4, приводит к возможности внедрения дополнительных DOM сущностей в состав HTML документа. Уязвимость заключается в отсутствии санитизации пользовательских данных ( $_GET['plugin_id'] ), попадающих в переменную $activate_url, которая участвует в формировании тела ответа. В исправлении был исключен канал воздействия путем удаления $_GET['plugin_id'] из формирования значения переменной $activate_url.

🐛 CVE-2023-41047 в веб-интерфейсе для 3D принтеров OctoPrint до версии 1.9.3 позволяет привилегированным пользователям выполнять произвольный код путем создания специально сформированных GCODE-скриптов. Уязвимость состоит в использовании небезопасного jinja2-окружения jinja2.sandbox.Environment при работе с шаблонами. Патч заменяет jinja2.sandbox.Environment на более безопасный вариант - jinja2.sandbox.SandboxedEnvironment, в котором при попытке исполнения небезопасного кода будет выдано исключение jinja2.sandbox.SecurityError.

🐛 CVE-2023-23930, найденная в платформе для обучения vantage6 до версии 4.0.0, заключается в использовании небезопасной реализации процесса десериализации с использованием библиотеки pickle, что может привести к исполнению произвольного кода. В исправлении уязвимая функция pickle.loads была заменена на безопасный вариант - json.loads.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-5591, обнаруженная в системе мониторинга сети LibreNMS до версии 23.10.0, приводит к SQL-инъекции. Проблема заключается в использовании значения параметра address из POST-запроса в функции для формирования и исполнения SQL-запроса dbFetchRows. Для исправления уязвимости формирование SQL-запроса стало выполняться параметризированным способом.

🐛 CVE-2023-45158 в web-фреймворке web2py до версии 2.24.1 для модуля messageboxhandler и функции notifySendHandler обнаружена уязвимость OS Command injection. Уязвимость заключается в возможности попадания пользовательских данных в функцию логирования, внутри которой данные обрабатываются с использованием os.system. В патче была произведена замена os.system на subprocess.run и пользовательские данные включены в элемент массива для аргумента команды, что исключает выполнение команды ОС.

🐛 CVE-2023-43658, обнаруженная в плагине календаря для Discource dicourse-calendar, позволяет злоумышленникам внедрить произвольные html-сущности в состав ответа сервера, что приводит к XSS. Прямая запись пользовательских заголовков эвентов ( event_name ) в состав html-страницы, приводит к появлению данной проблемы. Патч добавляет функцию CGI.escape_html для конвертации недопустимых символов в их html-представления.

🐛 CVE-2023-5631 в почтовом web-клиенте Roundcube до версии 1.4.15, 1.5.x до 1.5.5 и 1.6.x до 1.6.4 может приводить к stored XSS в теле HTML сообщения электронной почты. Проблема находится в файле program/lib/Roundcube/rcube_washtml.php в функции wash_uri, некорректно обрабатывающей разделительные символы для типа контента в составе URI SVG изображения. В патче был введен механизм удаления разделительных символов из URI.

🐛 CVE-2023-20198 в веб UI компоненте Cisco IOS XE до версий 17.9.4a, 17.6.6a, 17.3.8a и 16.12.10a позволяет неаутентифицированному злоумышленнику создать аккаунт с максимальным уровнем привилегий. Часть уязвимости заключается в логике проверки IPv6 адреса в функции utils.isIpv6Address(ip), которая в ряде случаев используется для контроля данных, попадающих в состав cli-команд. В исправлении разработчики в механизме контроля IPv6 адреса скорректировали шаблон на ^([a-fA-F0-9:]+)$ и ввели дополнительные проверки на длину адреса и их значение.