Хакер #305. Многошаговые SQL-инъекции
Вчера было 29 февраля, и високосный год в очередной раз стал сюрпризом для многих разработчиков, вызвав множество проблем в самых разных областях. Например, в Новой Зеландии перестали работать платежные системы на АЗС, и пользователи пожаловались на сбои в работе продуктов Citrix и Sophos.
Как сообщили СМИ, заправочные станции в Новой Зеландии перестали принимать платежи по картам из-за проблем с софтом в платежных терминалах компании Invenco Group. По информации газеты The New Zealand Herald, эти перебои продолжались «более 10 часов», и в результате некоторые АЗС оказались фактически закрыты. Перебои затронули таких поставщиков, как Allied Petroleum, BP, Gull, Waitomo и Z Energy.
Представители Invenco Group сообщили журналистам, что сбой произошел из-за «глюка високосного года». В настоящее время проблемы уже устранены, и компания проводит расследование случившегося.
Также на проблемы, связанные с наступлением 29 февраля, пожаловались пользователи продуктов Citrix. Например, сервис Citrix HDX HTML5 Video Redirection Service перестал работать на всех машинах Virtual Delivery Agent (VDA). Этот сервис является частью набора решений для виртуализации, используемых для удаленной работы, образования, доставки контента и мультимедийных приложений.
Пользователи быстро установили связь между текущей датой и возникновением проблем, придя к выводу, что имеют дело с ошибкой високосного года. Некоторые даже предлагали изменить системную дату обратно на 28 февраля 2024 года и быстро перезапустить сервис Citrix без перезагрузки (и это помогало).
В итоге разработчики Citrix выпустили бюллетень, в котором сообщили, что проблема проявляется только после перезапуска VDA, и предложили пользователям временное решение (связанное с остановкой службы времени и переводом даты на 1 марта 2024 года), пока не будет выпущен полноценный патч.
Кроме того, о возможном возникновении сбоев предупредила и компания Sophos. По словам разработчиков, устройства, перезагруженные 29 февраля 2024 года, могли столкнуться с проблемами в работе Sophos Endpoint, Sophos Server и Sophos Home.
Например, могли появляться неожиданные предупреждения о сертификатах безопасности HTTPS-сайтов. Сообщается, что ошибка возникает только в том случае, если в антивирусном ПО включен параметр «SSL/TLS decryption of HTTPS websites», отключенный по умолчанию.
Для решения этой проблемы разработчики временно отключили расшифровку SSL/TLS в Sophos Endpoint и Sophos Server 2023.2.x, а пользователям Sophos Server 2023.1.x и Sophos Home посоветовали сделать то же самое вручную (в случае возникновения проблем).
Среди других заметных сбоев, связанных с внезапно наступившим високосным годом, можно перечислить следующие:
- в четырех префектурах Японии возникли проблемы с выдачей водительских прав, что вынудило власти временно переключиться на непострадавшие системы;
- шведский продуктовый ритейлер ICA временно перестал принимать платежи по картам «из-за внутренней проблемы, связанной с датой»;
- у умных часов Fastrack FS1 возникли проблемы с отображением текущей даты и времени;
- официальное мобильное приложение Irish Rail (оператор национальной железнодорожной сети в Ирландии) перестало отображать маршруты;
- по данным пользователей, крупная колумбийская авиакомпания Avianca неправильно распечатала билеты, изменив дату с 29 февраля на 1 марта.
Более полный список инцидентов, так или иначе связанных с 29 февраля 2024 года, собирает в своем блоге разработчик Microsoft Мэтт Джонсон-Пинт (Matt Johnson-Pint). Он занимается вопросами, связанными с датами, временем и часовыми поясами, участвует в разработке .NET и почти каждый високосный год составляет перечень проблем, которые возникают из-за дополнительного дня в различных областях.