Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG" | +/– | |
Сообщение от opennews (??), 06-Янв-24, 11:15 | ||
В Perl-модуле Spreadsheet::ParseExcel, предоставляющем функции для разбора файлов в формате Excel, выявлена критическая уязвимость (CVE-2023-7101), позволяющая выполнить произвольный код при обработке файлов XLS или XLSX, включающих специально оформленные правила форматирования чисел. Уязвимость вызвана использованием при построении вызова "eval" данных, полученных из обрабатываемого файла. Проблема устранена в обновлении Spreadsheet::ParseExcel 0.66. Имеется прототип эксплоита... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
2. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +2 +/– | |
Сообщение от Аноним (-), 06-Янв-24, 11:27 | ||
> Barracuda ESG (Email Security Gateway) | ||
Ответить | Правка | Наверх | Cообщить модератору |
7. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 06-Янв-24, 11:51 | ||
Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco. Уже безопасненько. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –5 +/– | |
Сообщение от Аноним (14), 06-Янв-24, 13:25 | ||
Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –1 +/– | |
Сообщение от Аноним (7), 06-Янв-24, 13:32 | ||
> Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –1 +/– | |
Сообщение от Аноним (14), 06-Янв-24, 13:40 | ||
>^^^ это сгенерировано либо нейросеткой, либо поехавшим. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 06-Янв-24, 13:54 | ||
> На основании чего ты сделал подобные выводы? | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –2 +/– | |
Сообщение от Аноним (14), 06-Янв-24, 13:59 | ||
Не являются, ограниченность и неосведомлённость отдельных комментаторов может вызывать у тех подобное впечатление. И, если я правильно понял, мейнтейнер сабжа на перлопомойке тоже сотрудник РХ. Он конечно же знал, что в коде вулны с евал. Кто, если не он? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 06-Янв-24, 14:25 | ||
> Не являются | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –1 +/– | |
Сообщение от Аноним (33), 06-Янв-24, 18:12 | ||
Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не выглядит естественным. | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
35. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (14), 06-Янв-24, 18:22 | ||
> Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (33), 06-Янв-24, 19:26 | ||
Не, не угадал | ||
Ответить | Правка | Наверх | Cообщить модератору |
37. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (14), 06-Янв-24, 19:33 | ||
А может, и угадал, кто знает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (33), 06-Янв-24, 18:01 | ||
У вас просто поток контекстуально несвязанных выражений, это даже прочитать сложно | ||
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору |
31. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (14), 06-Янв-24, 18:04 | ||
> У вас просто поток контекстуально несвязанных выражений | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Anonymous1 (?), 08-Янв-24, 11:07 | ||
А эти те, кого эта тема затрагивает - они сейчас с тобой, в твоей комнате? | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (14), 08-Янв-24, 16:43 | ||
> А эти те, кого эта тема затрагивает - они сейчас с тобой, | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (33), 06-Янв-24, 17:59 | ||
Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуда даже по сети никуда сходить нельзя. Такие проблемы не должны приводить к большим проблемам, кроме получения ложного результата проверки вложения. | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
47. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 07-Янв-24, 02:26 | ||
Это было про локальные антивирусы, которые на компах стоят. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +9 +/– | |
Сообщение от Шарп (ok), 06-Янв-24, 11:32 | ||
Наличие в коде eval и аналогов это признак говнокода. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +2 +/– | |
Сообщение от ИмяХ (ok), 06-Янв-24, 12:02 | ||
Наличие в языке eval и аналогов это признак гoвнoязыка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 06-Янв-24, 12:17 | ||
Ага, а наличие лезвия - признак говноинструмента. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 06-Янв-24, 12:36 | ||
> Ага, а наличие лезвия - признак говноинструмента. | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (7), 06-Янв-24, 12:44 | ||
> Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
40. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от _ (??), 06-Янв-24, 20:44 | ||
Людям свойственно ошибаться. (С) | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (7), 07-Янв-24, 02:23 | ||
> Людям свойственно ошибаться. (С) | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от man perlfunc разрешил (?), 07-Янв-24, 19:20 | ||
Если только строчного. | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 19:51 | ||
Ага. Сотри. | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
59. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 20:06 | ||
Если ты видишь рукоять там, где расположено лезвие, то тебе определённо не следует прикасаться ни к какому инструменту. | ||
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору |
32. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (33), 06-Янв-24, 18:07 | ||
В таком сценарии можешь написать эти же функции в виде либы или модуля и заносить в код как положено, а не через задницу. Код и данные должны быть отдельно. | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
41. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от _ (??), 06-Янв-24, 20:45 | ||
А ещё на земле не должно быть войн, болезней и неравенства. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (28), 06-Янв-24, 17:50 | ||
Отсутствие eval - признак статического языка, не более. В динамических он должен быть. | ||
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору |
54. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (54), 07-Янв-24, 17:43 | ||
про это и намек, что статические языки рулят) | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +2 +/– | |
Сообщение от crypt (ok), 06-Янв-24, 12:59 | ||
Я его слепила из того, что было. Коммерческий продукт страдает от использования noname opensource компонентов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | –1 +/– | |
Сообщение от лютый жабби.... (?), 06-Янв-24, 13:51 | ||
>Коммерческий продукт страдает от использования noname opensource компонентов. | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (7), 06-Янв-24, 13:55 | ||
На жабку у них не хватило памяти :( | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (23), 06-Янв-24, 14:42 | ||
Жабку на встроенном девайсе? Петончег же. | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
25. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (25), 06-Янв-24, 15:09 | ||
Ну уж нет уже пора игогошечку. | ||
Ответить | Правка | Наверх | Cообщить модератору |
34. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (33), 06-Янв-24, 18:21 | ||
Здесь нужно использовать python, lua или нечто подобное. perl взяли, вероятно, потому что вместо разработки собственного движка начали допиливать какой-нибудь Spamassassin | ||
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору |
42. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от _ (??), 06-Янв-24, 20:55 | ||
>какой-нибудь Spamassassin | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от rvs2016 (ok), 06-Янв-24, 13:50 | ||
> Проблема устранена в обновлении | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (28), 06-Янв-24, 17:38 | ||
На цпане огромное количество модулей с плохим качеством кода. Все надо вычитывать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (38), 06-Янв-24, 20:07 | ||
>eval | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (53), 07-Янв-24, 15:05 | ||
Вам кто-то запретил, вот и не используйте. | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +2 +/– | |
Сообщение от Аноним (55), 07-Янв-24, 17:59 | ||
>Не уязвимость, а бэкдор | ||
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору |
39. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +3 +/– | |
Сообщение от Аноним (39), 06-Янв-24, 20:40 | ||
В js постоянно жуткие баги в npm находят и норм, а тут за что лет один баг на перле и набежало хейтеров... | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от ку (?), 07-Янв-24, 19:23 | ||
неосиляторы, сэр. комплексы. и ещё этот чортов утёнок. | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (60), 07-Янв-24, 21:25 | ||
Думаю, просто разработки на js ведётся на порчдок больше чем на perl | ||
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору |
48. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Tron is Whistling (?), 07-Янв-24, 09:41 | ||
Пппппппц. Эвал для разбора форматирования - это высший пилотаж, за который вот это вот стоило бы вынести из репозитария вместе с авторами, и никогда больше не пускать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Tron is Whistling (?), 07-Янв-24, 09:42 | ||
А так - ну, очередное подтверждение тому, что все хламорепозитарии - зло. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Аноним (50), 07-Янв-24, 11:38 | ||
9.5 лет прошло с момента предыдущего обновления модуля. | ||
Ответить | Правка | Наверх | Cообщить модератору |
52. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +1 +/– | |
Сообщение от Аноним (53), 07-Янв-24, 14:59 | ||
9.5 лет написанный код работал без необходимости постоянно спички вставлять. | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Шарп (ok), 08-Янв-24, 12:06 | ||
9.5 лет работал бекдор. Вам такое и не снилось. | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Tron is Whistling (?), 07-Янв-24, 11:45 | ||
А, то есть оно уже ещё и тухлое. Ну, классика cpan'о-пипо-npm'ов, да. | ||
Ответить | Правка | Наверх | Cообщить модератору |
63. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от Liin (ok), 08-Янв-24, 13:10 | ||
За eval в коде надо бить, возможно, даже ногами. Это ж просто бомба замедленного действия. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от PnD (??), 09-Янв-24, 16:28 | ||
В обработке "внешних" данных — да. | ||
Ответить | Правка | Наверх | Cообщить модератору |
65. "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используем..." | +/– | |
Сообщение от anonymous (??), 09-Янв-24, 01:24 | ||
ESG же это Environment, Sustainability, and Governance. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |