Exploit in Module::AutoLoad (Allgemeines zu Perl)

[thread]21003[/thread]

Exploit in Module::AutoLoad

Tags: perl5 exploit Module::AutoLoad Ähnliche Threads

Leser: 11

Articles: hide open all | hide show old branches

+9 replies
styx-cc

2020-07-28 23:40

User since
2006-05-20
533 Artikel
BenutzerIn

"#Perl devs, if you use Module::AutoLoad for anything, please strip it out of your code immediately. It has an exploit attempt and it's already been de-indexed from metacpan."

https://www.nntp.perl.org/group/perl.modules/2020/...

Quelle Facebook - Perl Programmers

Sinngemäße Übersetzung:
Wenn du das Modul Module::AutoLoad für irgendetwas verwendest, entferne es bitte umgehend aus deinem Quelltext. Es wurde der Versuch unternommen das Modul zu exploiten und es wurde bereits auf Metacpan gedelistet/entfernt.
Pörl.
- bianca
  
  2020-07-29 09:23
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Danke für die Info.
  10 print "Hallo"
  20 goto 10
- GwenDragon
  
  2020-07-29 09:35
  
  User since
  2005-01-17
  14890 Artikel
  Admin1
  
  Danke für den Hinweis. :-)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +2 replies
- GwenDragon
  
  2020-07-29 10:43
  
  User since
  2005-01-17
  14890 Artikel
  Admin1
  
  Und welche Version war da nun unsicher?
  
  Ich kann auf MetaCPAN das finden: https://metacpan.org/pod/Module::AutoLoad
  
  Weiterhin hat sich der autor des Moduls geäußert: https://www.nntp.perl.org/group/perl.modules/2020/...
  Last edited: 2020-07-29 10:45:08 +0200 (CEST)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - Gast styx-cc gast
    
    2020-07-29 12:07
    Code: (dl )
    
    1 2 3 4 5 6 7 8 9 10 11 12 13 14
    
    18:24:17 < haarg> the unpack i mean 18:25:24 < haarg> next step: https://perlbot.pl/p/o1lk67 18:26:15 < haarg> next step: https://perlbot.pl/p/gkoxmt 18:26:52 < Grinnz> fyi that has been there since the first release of that dist in 2011 18:27:10 < Grinnz> though with different ips 18:30:03 < ether> 82.46.99.88.":1" = R.cX:1 18:30:11 < Grinnz> oh dear god 18:30:22 < Grinnz> so it's a vstring and not an ip at all 18:30:23 < ether> what does IO::Socket::INET do with that? is :1 a port number? 18:30:26 < Grinnz> yes 18:30:49 < ether> I missed haarg's first paste, https://perlbot.pl/p/1133d2 - that makes it more clear :)
    
    Sieht nach einer ganzen Weile aus.
    Ich muss zugeben, ich kann nicht ganz nachvollziehen warum das Problem sich zwischenzeitlich in Luft aufgelöst haben soll, der Autor wieder einen Login hat, das Modul aber trotzdem nicht mehr indexiert ist.
    
    https://www.nntp.perl.org/group/perl.modules/2020/...
    
    Wenn da wirklich ein iPohone-Jailbreak oder ein rootkit nachgeladen wurde (mangels Zeit habe ich das nicht verifiziert) ist das imho eher ein Fall für Behörden als für eine Reaktivierung - aber wie gesagt, vllt. hab ich es einfach nicht verstanden, zumal mir auch schleierhaft ist, was das SSL-Cert damit zu tun hat.
    
    Lieben Gruß
    Last edited: 2020-07-29 12:26:59 +0200 (CEST)
- +4 replies
- GwenDragon
  
  2020-08-04 12:10
  
  User since
  2005-01-17
  14890 Artikel
  Admin1
  
  Ich lese gerade, dass der Autor des Moduls eine verbesserte, sicherte Version rausbringen wird.
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +3 replies
  - haj
    
    2020-08-04 17:24
    
    User since
    2015-01-07
    594 Artikel
    BenutzerIn
    
    Da bin ich ja mal gespannt.
    
    Das, was das Modul zu tun vorgibt, kann man schon auch ordentlich und ohne ein obskures "RCX Framework" tun. Aber: Der Autor hat sich in seinen bisherigen Äußerungen nicht gerade einsichtig gezeigt, was das Thema "lade Code von verschwurbelter Adresse aus dem Internet und führe ihn aus" angeht.
    - +2 replies
    - GwenDragon
      
      2020-08-05 12:40
      
      User since
      2005-01-17
      14890 Artikel
      Admin1
      
      2020-08-04T15:24:02 haj
      Aber: Der Autor hat sich in seinen bisherigen Äußerungen nicht gerade einsichtig gezeigt, was das Thema "lade Code von verschwurbelter Adresse aus dem Internet und führe ihn aus" angeht.
      So sehe ich das auch. Wenn ein Test bei Modulen intransparentes Verhalten und unsicheres so wie Malware betreibt, ist das unglaublich und eine Zumutung.
      Bei Linux und Windows-Programmen/-Modulen wäre sowas dem Autor längst extrem negativ angekreidet worden.
      
      Wir sehen, CPAN kann also auch extrem unsichere Module beinhalten.
      Unter Perl also nicht nur "Vertraue keinen Daten von Außen" sondern auch "Vertraue nicht jedem Modul".
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - haj
        
        2020-08-05 21:47
        
        User since
        2015-01-07
        594 Artikel
        BenutzerIn
        
        2020-08-05T10:40:16 GwenDragon
        Wir sehen, CPAN kann also auch extrem unsichere Module beinhalten.
        Unter Perl also nicht nur "Vertraue keinen Daten von Außen" sondern auch "Vertraue nicht jedem Modul".
        
        Ja, das ist etwas, das mir hier auch deutlich klar geworden ist. CPAN hat hier keine "Governance" - es sind halt alles Freiwillige. Ich hatte gehofft, dass nun doch hin und wieder einer hinschaut bei neuen Autoren / Einträgen, aber leider ist das Modul immer noch auf CPAN verfügbar.
        
        Aufgeflogen ist unser Held ja nicht erst jetzt, sondern 2016 bei stackoverflow. Damals ist das leider dort hängengeblieben und nicht an die CPAN / toolchain-Leute weitergeleitet worden. Anno 2016 habe ich berufsmäßig etliche Security-Mailinglisten und -Foren verfolgt, auch da ist das anscheinend nie gelandet :(

View all threads created 2020-07-28 23:40.