Rust и Go смузихлебно лососнули

В результате, например, файрвол написанный на безопасном Rust может благополучно пропустить зафайрволенный адрес.

Первое место тебе в конкурсе натягивания сов на глобусы.

ШОК, СЕНСАЦИЯ - В ПРОГРАММАХ НА ЯЗЫКАХ С MEMORY SAFETY БЫВАЮТ ОШИБКИ!!!!!11

Я думал, ты помер.

И например, 0177 в IP адресе - это нифига не 177, а 127 в 10-м виде. Или 012 - это не 12, а 10 в 10-м виде. Но в либах ведущий ноль в таких местах просто отбрасывают.

Интереса ради, а кто использует восьмеричную запись для IP-адресов. Мне не доводилось.

Тут какой безопасный язык не придумай, а ошибки все-равно будут.

Никто, кроме совсем упоротых, с этим и не спорит.

Это пять, я считаю.

Чёрт с ним с RFC, где это используется? Хочется понять сколько это редкоземельная вещь, и нафига оно нужно в принципе.

Да нигде.

В результате, например, файрвол написанный на безопасном Rust может благополучно пропустить зафайрволенный адрес.

РЕ-ШЕ-ТО!

Java забыли в перечень внести!!! С неё же всё и началось :)

Хоть римские цифры в RFC не прописали, и то хорошо.

так-то IP адреса ещё и в шестнадцатеричной системе можно записывать %) на этот счёт раст и гошечку проверили?

Не просто в программах на языках с memory safety, а фактически в самих языках!!!

ping 0x7f.0.0.1

Я думал, что ахинея с лидирующим нулём, которая давно приводила к куче mindfuck’ов, осталась лишь в языках программирования прошлого века, вроде C и C++, а в новых давно уже стандартизировано:

0xFF
0o77
0b11

Ура, ура, что-то не работает, возрадуемся товарищи, это самый лучший день в моей жизни, она приобрела смысл!!1

В результате, например, файрвол написанный на безопасном Rust может благополучно пропустить зафайрволенный адрес.

Что за бред? Сам придумал?

Ты, конечно, не знаешь, но стандартная библиотека Rust написана на Rust.

Больше интересно как это оно сразу в либы двух языков попало?

Диверсия? Заговор спецслужб? Один автор? Копи-паста?

Или новая норма?

ахинея с лидирующим нулём, которая давно приводила к куче mindfuck’ов, осталась лишь в языках программирования прошлого века, вроде C и C++

Если списывать стдлибу как на контрольной, то неудивительно, что там будут те же ошибки.

Ууууух разраб файрвола неправильно распарсил число. ЭТО ОПРЕДЕЛЕННО ПРОБЛЕМА СТАНДАРТНОЙ БИБЛИОТЕКИ RUST. Еще очень радует go в заголовке который вообще никак не связан с инцидентом. Язабан такие вбросы это дно.

У человека миссия бороть Rust и Go, а ты мешаешь

полный тред подгоревших растофанатиков

Гении мыслят одинаково.

Уязвимости продолжают цикл проблем, ранее выявленных в библиотеках node-netmask (JavaScript, CVE-2021-28918, CVE-2021-29418), private-ip (JavaScript, CVE-2020-28360), ipaddress (Python, CVE-2021-29921), Data::Validate::IP (Perl, CVE-2021-29662) и Net::Netmask (Perl, CVE-2021-29424).

Интереса ради, а кто использует восьмеричную запись для IP-адресов. Мне не доводилось.

Справедливости ради, фича все же довольно не очевидная, однако допустимая, потому что есть вот такое соглашение об указаниях на числа.

$ ping 0177.0.0.1
PING 0177.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.026 ms

$ ping 0x7f.0.0.1
PING 0x7f.0.0.1 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.026 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.012 ms
64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.010 ms

и нафига оно нужно в принципе.

чтобы обойти фаирволл на Расте ?

Деды заложили таймбомбу.

потому что есть вот такое соглашение об указаниях на числа

Соглашение это откровенно говоря, идиотское. Я про лидирующий ноль, вместо конструкции вроде 0o177, как с HEX-значением.

В интернете никто не знает, что ты умер.

В этом смысл уязвимости.

Например, написал на Rust ты файрвол. На вход файрвола пришел адрес 012.1.2.3 - файрвол откинул лидирующий ноль, решил, что это обычный интернет-адрес и пропустил далее. А далее оказалось, что это на самом деле 10.1.2.3, пакет данных пробрался в локальную сетку предприятия.

Rust и Go смузихлебно лососнули

Не так.

Программисты на Rust и Go смузихлебно лососнули

На вход файрвола пришел адрес 012.1.2.3 - файрвол откинул лидирующий ноль, решил, что это обычный интернет-адрес и пропустил далее.

Как на вход файрвола может придти IP-адрес в текстовом представлении? O_O

Соглашение это откровенно говоря, идиотское.

Тут согласен. Мне правда больше нравится паскалевский hex в виде $DEADBEEF

Ну слава богу, что это самая большая проблема в Rust нынче.

Я доктор, я знаю? Просто пример для иллюстрации, только не надо доказывать, что в реальности такого не может быть. По-любому, интерпретация значения как десятичного, там где оно 8-миричное - это ошибка, чреватая в том числе и проблемами в безопасности. Об чем и есть исходная статья и на что выписали CVE

Мне вообще удавалось няпывать, вставляя %коды, вместо букв в url.

да, да и так тоже, я тогда себе спец тулзу гуишную напейсал что модифицировала url так что у админа видимо глаза в кучу были и нихера не понимал что в логах

я знаю?

Ну ты так уверенно вещаешь, что со стороны можно подумать, будто знаешь. Но не знаешь, понятно.

Просто пример для иллюстрации, только не надо доказывать, что в реальности такого не может быть.

Пример говно, в реальности такого быть не может. Пакеты не ходят по сети с текстовым представлением IP внутри.

20 лет назад? Админа с nginx? Ты про Игоря Сысоева?

C и C++

Опять сишники говно залили! Доколе они будут мешать нам делать безопасность?!

Доколе

Всегда.

Зато как смеялись, как смеялись, адепты раста и го, всего несколько месяцев назад над жс-макаками.

https://www.opennet.ru/opennews/art.shtml?num=54857

Я бы скорее винил авторов мракобесного RFC.

Написано, конечно, чёрным по белому:

it allowed octal and hexadecimal in addition to decimal

Но, тем не менее, зачем?

Кстати, это же до сих пор драфт, а не RFC. Гипотетически, можно и убрать это оттуда. И добавить эмодзи.

Не, числительными иероглифами!

например, было вычислительно проще переводить в бинарное представление из текстового восьмеричного или шестнадцатеричного, чем десятичного

в 70-е годы наверное это было важно

Я сильно сомневаюсь, что в мире есть хоть один сетевой стек, правильно реализующий всё наслоение RFC для получения абстрактной странички по https.

Ты про Игоря Сысоева?

нет

Пример говно, в реальности такого быть не может. Пакеты не ходят по сети с текстовым представлением IP внутри.

Пакеты допустим не ходят, а правила для файрвола могут быть, и даже скорее всего будут, написаны в текстовом виде.

Если нет, то убавь пять лет как минимум, чтобы сошлось.