Etherpad-lite: SQL 인젝션 시도로 Etherpad 라이트 종료

사실입니다.
소중한 정보 감사합니다 @fpoulain , 감사합니다!

여러분, 책임 있는 공개에 대한 알림입니다. 선택할 기회를 주지 않고 공개적으로 게시하는 것은 매우 위험할 수 있습니다.

여러분, 책임 있는 공개에 대한 알림입니다. 선택할 기회를 주지 않고 공개적으로 게시하는 것은 매우 위험할 수 있습니다.

흠 ... 실제로 일부 못된 놈들이 사용하기 때문에 이미 공개되었습니다.

또한 비공개 방법으로 신고하는 방법을 모르겠습니다. 프로젝트 설명에는 보안 문제에 대한 비공개 피드백 루프가 언급되어 있지 않습니다. 내가 어떻게 신고했을 것 같아?

Afaik 우리는 책임 있는 공개 정책을 가지고 있습니다. 나는 그것이 etherpad.org와 github readme에 있다고 생각했습니다.

보낸 사람: François Poulain [email protected]
보낸 날짜: 2019년 1월 21일 월요일 오전 11시 16분
받는 사람: ether/etherpad-lite
참조: John McLear; 논평
제목: Re: [ether/etherpad-lite] SQL 주입 시도가 Etherpad 라이트를 죽입니다(#3502).

여러분, 책임 있는 공개에 대한 알림입니다. 선택할 기회를 주지 않고 공개적으로 게시하는 것은 매우 위험할 수 있습니다.

흠 ... 실제로 일부 못된 놈들이 사용하기 때문에 이미 공개되었습니다.

또한 비공개 방법으로 신고하는 방법을 모르겠습니다. 프로젝트 설명에는 보안 문제에 대한 비공개 피드백 루프가 언급되어 있지 않습니다. 내가 어떻게 신고했을 것 같아?

-
당신이 댓글을 달았기 때문에 이것을 받는 것입니다.
이 이메일에 직접 답장하거나 GitHub https://github.com/ether/etherpad-lite/issues/3502#issuecomment-456039980 에서 확인하거나 https://github.com/notifications/unsubscribe-auth/ 스레드를 음소거

"보안 문제를 찾았습니까? ...를 통해 알려주십시오."라는 초대장을 추가하는 것이 좋습니다. 이 호를 열기 전에 github의 readme와 etherpad.org에서 그런 초대장을 찾지 못한 채 몇 분을 보냈습니다. 또한, 영어가 모국어가 아닌 독자로서 나는 찾아야 할 좋은 조건을 놓칠 수 있었습니다.

유명한. Tnx

보낸 사람: François Poulain [email protected]
보냄: 2019년 1월 21일 월요일 오후 2시 35분
받는 사람: ether/etherpad-lite
참조: John McLear; 논평
제목: Re: [ether/etherpad-lite] SQL 주입 시도가 Etherpad 라이트를 죽입니다(#3502).

"보안 문제를 찾았습니까? ...를 통해 알려주십시오."라는 초대장을 추가하는 것이 좋습니다. 이 호를 열기 전에 github와 etherpad.org에서 그런 초대장을 찾지 못한 채 몇 분을 보냈습니다. 또한, 영어가 모국어가 아닌 독자로서 나는 찾아야 할 좋은 조건을 놓칠 수 있었습니다.

-
당신이 댓글을 달았기 때문에 이것을 받는 것입니다.
이 이메일에 직접 회신하거나 GitHub https://github.com/ether/etherpad-lite/issues/3502#issuecomment-456096384 에서 확인하거나 https://github.com/notifications/unsubscribe-auth/ 스레드를 음소거

저도 못 찾았지만 https://github.com/ether/etherpad-lite/issues/2499 하나를 추가하기 위해 PR을 요청하신 것을 찾았습니다

빠른 수정으로 https://securitytxt.org/ 를 만드는 것을 고려하시겠습니까?

문제가 되는 코드는 여기 어딘가에 있습니다: https://github.com/ether/yajsml/blob/master/server.js#L98

면책 조항: 저는 이 문제를 해결할 만큼 똑똑하지 않습니다. 도와줄 전문 지식이 있는 사람이 필요합니다!

이봐! 지금 이것에 대해 조사 중입니다.

먼저: SQLi에 대한 두려움을 없애기 위해: 동일한 충돌을 일으키는 이 대체 페이로드에서 알 수 있듯이 이것은 SQL 주입과 아무 관련이 없습니다.

/javascripts/lib/ep_etherpad-lite/static/js/pad.js?callback=require.define&footlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootlefootle

이것은 캐싱 미들웨어의 파일 이름 길이 문제입니다.

현재 캐시 키는 다음과 같이 생성됩니다.

var cacheKey = Buffer.from(path).toString('base64').replace(/[/+=]/g, '');

이로 인해 캐시 키 길이가 경로 길이로 제어됩니다.

이것은 많은 파일 시스템이 파일 이름 길이를 255자로 제한하기 때문에 캐시 키가 디스크의 파일 이름으로 사용될 때 문제입니다. 이것이 로그에 ENAMETOOLONG 오류가 있는 이유입니다.

이 문제를 해결하려면 base64로 인코딩된 버전 대신 캐시 키를 경로의 해시로 만드는 것이 좋습니다. 이렇게 하면 고정 길이 파일 이름이 보장됩니다.

곧이 작업을 수행하는 PR을 제출할 것입니다.

안녕하세요, @tomnomnom 입니다. 캐시 키의 길이가 고정되어 있다는 것은 완전히 이치에 맞습니다. 이런 식으로 충돌 위험이 거의 없는 상태에서 콘텐츠에 계속 의존합니다.

오늘 밤에 봐야겠다.
잘 했어요!

PR을 병합했습니다. 감사합니다!

이에 대한 추가 참고 사항: nodejs 문서 에서 crypto 모듈을 사용할 수 없는 가능성을 고려해야 할 수도 있습니다 .

암호화 모듈에 대한 지원을 포함하지 않고 Node.js를 빌드할 수 있습니다. 이러한 경우 require('crypto')를 호출하면 오류가 발생합니다.

임베디드 플랫폼에 없을 수도 있습니다(예: ARM, MIPS, Raspberry PI 등)? 모르겠어요. 이러한 시나리오에 대한 설명은 다음에서 찾을 수 있습니다 .

• 리소스 또는 보안이 제한된 환경에서 비표준 노드 실행(이 시나리오에 대한 명시적 지원은 node#5611 참조)
• 에뮬레이트된 환경에서 실행(browserify, webpack 등)
• 소스에서 노드 빌드 및 임의의 이유로 openssl/crypto 생략( StackOverflow 질문 또는 다른 nodejs 게시물 참조 )

어쨌든, 타이프 라이터들은이 같은 문제를 처리 https://github.com/microsoft/TypeScript/issues/19100 , 그들은에서 우아한 방법으로 해결 https://github.com/microsoft/TypeScript/commit/ 9677b0641cc5ba7d8b701b4f892ed7e54ceaee9a.

암호화 가져오기가 런타임에 실패하면 해시 알고리즘 djb2 ​​알고리즘 을 대체합니다.

우리의 경우에 적합한 예는 다음과 같습니다.

function djb2Hash(data) {
    const chars = data.split("").map(str => str.charCodeAt(0));
    return `${chars.reduce((prev, curr) => ((prev << 5) + prev) + curr, 5381)}`;
}

console.log(Buffer.from(djb2Hash('This is a 😎 test of the djb2 hash function')).toString('hex'));
// prints 36373536373437333033

나는 당신에게 이것을 요구하지 않지만 djb2 이야기는 재미있습니다. 여기를 참조 Daniel Bernstein 이 1991년에 작성한 원래 메일링 리스트 게시물 을 참조 하십시오 . 그는 당시 20세였습니다 .

암호화 지원이 없을 때 djb2 를 사용하는 후속 조치: #3797.