Уязвимости в приложениях,
написанных на языке Perl, могут приводить не
только к атакам на отказ в обслуживании, как
считалось до сих пор, но и вызвать гораздо
более серьезные проблемы. Во вторник
компания Dyad Security предупредила о так
называемой «уязвимости форматирования
строки» в Webmin, утилите веб-администрирования,
написанной на языке Perl. Используя эту
ошибку «нового класса», злоумышленник
может полностью завладеть сервером, на
котором исполняется уязвимое ПО, говорится
в предупреждении. «В случае успешного
исполнения кода при стандартной
конфигурации такая атака может привести к
полному овладению компьютером на уровне root».
Об уязвимостях форматирования строки
известно давно, но прежде эксперты считали,
что подобные ошибки в приложениях,
написанных на Perl, нельзя использовать для
дистанционного исполнения кода на целевой
системе. Такие атаки считались возможными
только в том случае, если приложение
написано на более низкоуровневом языке
программирования, таком как С. «Возможно,
это первая из уязвимостей форматирования
строки нового типа, — говорит старший
менеджер Symantec Security Response Оливер Фридрихс. —
Раньше считалось, что таким способом можно
вызвать только атаку на отказ в
обслуживании. Теперь хакеры, конечно же,
начнут пристально изучать их».
