Найдена уязвимость удаленного выполнения кода в CouchDB

Найдена уязвимость удаленного выполнения кода в CouchDB

Найдена уязвимость удаленного выполнения кода в CouchDB

В CouchDB была обнаружена уязвимость, вызванная несоответствием между собственным парсером JSON и JSON-парсером Javascript, используемым во время проверки документа. Поскольку базы данных CouchDB открыты для доступа через интернет, эта брешь может поспособствовать эскалации привилегий и удаленному выполнению кода на большом количестве установок.

CouchDB написана на языке Erlang, но позволяет указывать сценарии проверки документов в Javascript. Эти сценарии автоматически оцениваются при создании или обновлении документа. CouchDB управляет учетными записями пользователей через специальную базу данных — _users.

Когда вы создаете или изменяете пользователя в базе данных CouchDB, сервер проверяет изменение с помощью функции Javascript validate_doc_update, чтобы удостовериться, что это не попытка сделать себя администратором, например.

«Проблема в том, что существует расхождение между JSON-парсером Javascript (используемым в скриптах проверки) и тем, что используется внутри CouchDB, называемым jiffy», — пишет эксперт, обнаруживший брешь.

Далее специалист привод куски кода для демонстрации этой разницы:

Erlang:

> jiffy:decode("{\"foo\":\"bar\", \"foo\":\"baz\"}"). 
{[{<<"foo">>,<<"bar">>},{<<"foo">>,<<"baz">>}]}

Javascript:

> JSON.parse("{\"foo\":\"bar\", \"foo\": \"baz\"}")
{foo: "baz"}

Для данного ключа парсер Erlang сохранит оба значения, а вот Javascript-парсер сохранит только последнее, что позволит обойти все соответствующие проверки ввода и создать пользователя с правами администратора.

Исследователь указывает на то, что использовать несколько парсеров для обработки одних и тех же данных не очень правильно. Он предлагает сделать все возможное, чтобы не было никаких функциональных различий между парсерами, если есть необходимость использовать несколько.

Мобильный интернет в России станет быстрее благодаря ИИ

Мобильный интернет в России хотят ускорить с помощью искусственного интеллекта. И нет, речь не о чат-боте, который будет сочинять вам извинения за плохой сигнал. ИИ планируют использовать прямо в сетях связи, чтобы он сам распределял нагрузку, освобождал перегруженные каналы и подкидывал трафик туда, где есть свободная полоса.

По данным материалов Минцифры (передают «Известия»), российские операторы уже провели пилотные проекты.

Результаты выглядят бодро: пропускная способность сетей выросла на 20-30%, а задержки передачи данных сократились примерно вдвое. Особенно это важно для будущих 5G- и 6G-сетей, но приятный бонус в том, что эффект возможен и на нынешних LTE-сетях.

ИИ могут поручить динамическое распределение радиочастотного спектра, прогнозирование нагрузки, автоматическую настройку базовых станций и диагностику сбоев.

Проще говоря, сеть должна стать менее ручной и более самостоятельной: заметила перегрузку — перестроилась, увидела риск аварии — отреагировала заранее, поймала аномалию — не дала ей добраться до абонента.

Операторы уже используют такие решения. В МТС рассказали о системе распределения частот на базе ИИ и применении нейросетей при планировании сетей. Т2 использует комплекс SON, который автоматически оптимизирует работу базовых станций.

«Билайн» также развивает SON и в 2026 году запустил сетевого агента «ИИ-инженер» для разбора технических событий. В «Мегафоне» считают, что нейросети могут взять на себя управление сложными процессами, которые человеку трудно контролировать в реальном времени.

Эксперты объясняют: один из ключевых инструментов — модели LSTM, которые умеют прогнозировать трафик и распределять ресурсы под разные задачи, от видео до IoT. Но ждать магии всё же не стоит: ИИ поможет выжать больше из существующих сетей, а настоящий скачок скорости, по оценкам участников рынка, возможен после полноценного запуска 5G в России.

RSS: Новости на портале Anti-Malware.ru