blog/public/pt/links/go-xml-vulnerability/index.html

<!DOCTYPE html>
<html lang="en">
    <head>
      <meta http-equiv="X-UA-Compatible" content="IE=edge">
      <meta http-equiv="content-type" content="text/html; charset=utf-8">

      <!-- Enable responsiveness on mobile devices-->
      <!-- viewport-fit=cover is to support iPhone X rounded corners and notch in landscape-->
      <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1, viewport-fit=cover">

      <title>Julio Biason .Me 4.3</title>

      <!-- CSS -->
      <link rel="stylesheet" href="https://blog.juliobiason.me/print.css" media="print">
      <link rel="stylesheet" href="https://blog.juliobiason.me/poole.css">
      <link rel="stylesheet" href="https://blog.juliobiason.me/hyde.css">
      <link rel="stylesheet" href="https://fonts.googleapis.com/css?family=PT+Sans:400,400italic,700|Abril+Fatface">

      
    </head>

    <body class=" ">
        
            <div class="sidebar">
                <div class="container sidebar-sticky">
                    <div class="sidebar-about">
                        
                            <a href="https:&#x2F;&#x2F;blog.juliobiason.me"><h1>Julio Biason .Me 4.3</h1></a>
                            
                            <p class="lead">Old school dev living in a 2.0 dev world</p>
                            
                        
                    </div>

                    <ul class="sidebar-nav">
                        
                        
                        <li class="sidebar-nav-item"><a href="&#x2F;">English</a></li>
                        
                        <li class="sidebar-nav-item"><a href="&#x2F;pt">Português</a></li>
                        
                        <li class="sidebar-nav-item"><a href="&#x2F;tags">Tags (EN)</a></li>
                        
                        <li class="sidebar-nav-item"><a href="&#x2F;pt&#x2F;tags">Tags (PT)</a></li>
                        
                        
                    </ul>
                </div>
            </div>
        

        <div class="content container">
            
<div class="post">
  <h1 class="post-title">Link Comentado: Coordinated disclosure of XML round-trip vulnerabilities in Go’s standard library</h1>
  <span class="post-date">
	2020-12-14
	
            <a href="https://blog.juliobiason.me/pt/tags/links/">#links</a>
        
            <a href="https://blog.juliobiason.me/pt/tags/go/">#go</a>
        
            <a href="https://blog.juliobiason.me/pt/tags/google/">#google</a>
        
            <a href="https://blog.juliobiason.me/pt/tags/golang/">#golang</a>
        
            <a href="https://blog.juliobiason.me/pt/tags/xml/">#xml</a>
        
            <a href="https://blog.juliobiason.me/pt/tags/vulnerabilidade/">#vulnerabilidade</a>
        
  </span>
  <p>Mattermost, junto com o Google, anunciou a <a href="https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities">vulnerabilidade na
biblioteca XML padrão do
Go</a>. Tem
algumas coisas que precisam ser examinadas nesse anúncio.</p>
<span id="continue-reading"></span>
<p>Antes de mais nada, eu preciso avisar que eu nunca gostei de Go. Eu
não gosto da forma como a organização lida com a comunidade, eu não
gosto da forma como são lidados com os erros, e eu não gosto do estilo
de código que eles usam. Eu uso qualquer oportunidade para xingar a
linguagem. Mas dessa vez, eu acho que a coisa ficou tão errada que não
tem como não falar mal.</p>
<p>Primeiro, ok, tem uma vulnerabilidade na biblioteca de XML. A
vulnerabilidade em si não é grande coisa -- basicamente, o que
acontece é que a biblioteca não mantém a ordem dos elementos conforme
a entrada -- mas o seu uso em coisas maiores, como o SAML, afeta a
forma como elas são liadas. Basicamente, algo que parece um XML/SAML
bem formado vai ser interpretado da forma errada porque o sistema está
mudando a semântica da coisa por mudar a ordem dos elementos.</p>
<p>Segundo, desde que a vulnerabilidade foi encontrada, o time de
segurança do go estava trabalhando na correção, sem sucesso. A solução
depois disso foi que &quot;a causa raiz da vulnerabilidade não pode ser
corrigida de forma confiável.&quot; Isso quer dizer que a biblioteca padrão
agora tem uma vulnerabilidade que não pode ser corrigida.</p>
<p>Terceiro, essa vulnerabilidade foi encontrada em agosto deste ano e só
agora, quatro meses depois, a vulnerabilidade foi divulgada e
anunciada que não pode ser corrigida. Isso é bem enfurecedor porque o
Google tem um projeto chamado &quot;Project Zero&quot;, criado para encontrar e
relatar falhas de seguranças em vários produtos. O problema é que essa
é a terceira vulnerabilidade não-tão-pequena no código do go e nenhuma
delas foi encontrada pelo Project Zero. Por outro lado, eles são bem
rápidos para encontrar e apontar -- depois de um prazo de 30 dias --
problemas no Windows e no iOS, por exemplo.</p>
<p>Ah, e caso você esteja se perguntando quais foram essas outras
vulnerabilidades: a primeira era relacionada com <a href="https://twitter.com/peter_szilagyi/status/1332047468004077569">bibliotecas
criptográficas</a>
e basicamente afetou aplicações que usam Etherium. A segunda foi um
problema com a biblioteca &quot;http&quot;, que poderia levar a uma <a href="https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/">negação de
serviço no
Kubernete</a>.</p>
<p>Ainda... Quatro meses e nada de solução? Isso dá a sensação de que tem
algo seriamente errado com a arquitetura interna da linguagem, que
não permite que algo como ordenação seja aplicada.</p>
<p>Mas de volta ao problema inicial: Quarto, a empresa que trabalhou com
o Google e ajudou a tentar corrigir o problema apontam que eles não
acreditam que a solução apresentada pelo time do go vai realmente
corrigir o problema. Nas palavras deles, parece que o Google só quer
jogar o problema pra baixo do tapete e, quando a coisa explicar, eles
possam dizer &quot;é seu problema, nós avisamos&quot;.</p>
<p>A solução do Google é, basicamente, &quot;nós vamos botar na documentação e
esperar pelo menor&quot;. Então, sem correção de verdade. Honestamente, a
solução correta nesse caso seria remover a coisa toda e deixar alguém,
por sorte mais inteligente, escrever uma biblioteca XML correta. Nós
dizemos que nenhuma documentação é melhor que uma documentação errada,
então nenhuma biblioteca XML é melhor que uma biblioteca XML
vulnerável.</p>
<p>Outra solução seria criar bindings para a libxml2, que é uma
biblioteca em C que serve como base para as necessidades de XML de
outras linguagens. Isso significaria que a biblioteca padrão do go
necessitaria outras bibliotecas para ser construída.</p>
<p>Pessoalmente, com tudo que tem acontecido com a linguagem, usar a
mesma para qualquer projeto semi-sério (ou superior) é completamente
estúpido.</p>
<p>PS: Logo depois que eu postei esse artigo, eu recebi um aviso que o
time do go anunciou uma nova versão que corrige uma vulnerabilidade na
biblioteca &quot;ssh&quot; da stdlib. Mais uma vez, usar go para um projeto que
é pelo menos semi-sério é estupidez.</p>

</div>


        </div>

    </body>

</html>
Added the compiled blog, to be used in DigitalOcean App Platform 11 months ago			`<!DOCTYPE html>`
			`<html lang="en">`
			`<head>`
			`<meta http-equiv="X-UA-Compatible" content="IE=edge">`
			`<meta http-equiv="content-type" content="text/html; charset=utf-8">`

			`<!-- Enable responsiveness on mobile devices-->`
			`<!-- viewport-fit=cover is to support iPhone X rounded corners and notch in landscape-->`
			`<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1, viewport-fit=cover">`

			`<title>Julio Biason .Me 4.3</title>`

			`<!-- CSS -->`
			`<link rel="stylesheet" href="https://blog.juliobiason.me/print.css" media="print">`
			`<link rel="stylesheet" href="https://blog.juliobiason.me/poole.css">`
			`<link rel="stylesheet" href="https://blog.juliobiason.me/hyde.css">`
			`<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=PT+Sans:400,400italic,700\|Abril+Fatface">`





			`</head>`

			`<body class=" ">`

			`<div class="sidebar">`
			`<div class="container sidebar-sticky">`
			`<div class="sidebar-about">`

			`<a href="https://blog.juliobiason.me"><h1>Julio Biason .Me 4.3</h1></a>`

			`<p class="lead">Old school dev living in a 2.0 dev world</p>`


			`</div>`

			`<ul class="sidebar-nav">`


			`<li class="sidebar-nav-item"><a href="/">English</a></li>`

			`<li class="sidebar-nav-item"><a href="/pt">Português</a></li>`

			`<li class="sidebar-nav-item"><a href="/tags">Tags (EN)</a></li>`

			`<li class="sidebar-nav-item"><a href="/pt/tags">Tags (PT)</a></li>`


			`</ul>`
			`</div>`
			`</div>`


			`<div class="content container">`

			`<div class="post">`
			`<h1 class="post-title">Link Comentado: Coordinated disclosure of XML round-trip vulnerabilities in Go’s standard library</h1>`
			`<span class="post-date">`
			`2020-12-14`

			`<a href="https://blog.juliobiason.me/pt/tags/links/">#links</a>`

			`<a href="https://blog.juliobiason.me/pt/tags/go/">#go</a>`

			`<a href="https://blog.juliobiason.me/pt/tags/google/">#google</a>`

			`<a href="https://blog.juliobiason.me/pt/tags/golang/">#golang</a>`

			`<a href="https://blog.juliobiason.me/pt/tags/xml/">#xml</a>`

			`<a href="https://blog.juliobiason.me/pt/tags/vulnerabilidade/">#vulnerabilidade</a>`

			`</span>`
			`<p>Mattermost, junto com o Google, anunciou a <a href="https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities">vulnerabilidade na`
			`biblioteca XML padrão do`
			`Go</a>. Tem`
			`algumas coisas que precisam ser examinadas nesse anúncio.</p>`
			`<span id="continue-reading"></span>`
			`<p>Antes de mais nada, eu preciso avisar que eu nunca gostei de Go. Eu`
			`não gosto da forma como a organização lida com a comunidade, eu não`
			`gosto da forma como são lidados com os erros, e eu não gosto do estilo`
			`de código que eles usam. Eu uso qualquer oportunidade para xingar a`
			`linguagem. Mas dessa vez, eu acho que a coisa ficou tão errada que não`
			`tem como não falar mal.</p>`
			`<p>Primeiro, ok, tem uma vulnerabilidade na biblioteca de XML. A`
			`vulnerabilidade em si não é grande coisa -- basicamente, o que`
			`acontece é que a biblioteca não mantém a ordem dos elementos conforme`
			`a entrada -- mas o seu uso em coisas maiores, como o SAML, afeta a`
			`forma como elas são liadas. Basicamente, algo que parece um XML/SAML`
			`bem formado vai ser interpretado da forma errada porque o sistema está`
			`mudando a semântica da coisa por mudar a ordem dos elementos.</p>`
			`<p>Segundo, desde que a vulnerabilidade foi encontrada, o time de`
			`segurança do go estava trabalhando na correção, sem sucesso. A solução`
			`depois disso foi que "a causa raiz da vulnerabilidade não pode ser`
			`corrigida de forma confiável." Isso quer dizer que a biblioteca padrão`
			`agora tem uma vulnerabilidade que não pode ser corrigida.</p>`
			`<p>Terceiro, essa vulnerabilidade foi encontrada em agosto deste ano e só`
			`agora, quatro meses depois, a vulnerabilidade foi divulgada e`
			`anunciada que não pode ser corrigida. Isso é bem enfurecedor porque o`
			`Google tem um projeto chamado "Project Zero", criado para encontrar e`
			`relatar falhas de seguranças em vários produtos. O problema é que essa`
			`é a terceira vulnerabilidade não-tão-pequena no código do go e nenhuma`
			`delas foi encontrada pelo Project Zero. Por outro lado, eles são bem`
			`rápidos para encontrar e apontar -- depois de um prazo de 30 dias --`
			`problemas no Windows e no iOS, por exemplo.</p>`
			`<p>Ah, e caso você esteja se perguntando quais foram essas outras`
			`vulnerabilidades: a primeira era relacionada com <a href="https://twitter.com/peter_szilagyi/status/1332047468004077569">bibliotecas`
			`criptográficas</a>`
			`e basicamente afetou aplicações que usam Etherium. A segunda foi um`
			`problema com a biblioteca "http", que poderia levar a uma <a href="https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/">negação de`
			`serviço no`
			`Kubernete</a>.</p>`
			`<p>Ainda... Quatro meses e nada de solução? Isso dá a sensação de que tem`
			`algo seriamente errado com a arquitetura interna da linguagem, que`
			`não permite que algo como ordenação seja aplicada.</p>`
			`<p>Mas de volta ao problema inicial: Quarto, a empresa que trabalhou com`
			`o Google e ajudou a tentar corrigir o problema apontam que eles não`
			`acreditam que a solução apresentada pelo time do go vai realmente`
			`corrigir o problema. Nas palavras deles, parece que o Google só quer`
			`jogar o problema pra baixo do tapete e, quando a coisa explicar, eles`
			`possam dizer "é seu problema, nós avisamos".</p>`
			`<p>A solução do Google é, basicamente, "nós vamos botar na documentação e`
			`esperar pelo menor". Então, sem correção de verdade. Honestamente, a`
			`solução correta nesse caso seria remover a coisa toda e deixar alguém,`
			`por sorte mais inteligente, escrever uma biblioteca XML correta. Nós`
			`dizemos que nenhuma documentação é melhor que uma documentação errada,`
			`então nenhuma biblioteca XML é melhor que uma biblioteca XML`
			`vulnerável.</p>`
			`<p>Outra solução seria criar bindings para a libxml2, que é uma`
			`biblioteca em C que serve como base para as necessidades de XML de`
			`outras linguagens. Isso significaria que a biblioteca padrão do go`
			`necessitaria outras bibliotecas para ser construída.</p>`
			`<p>Pessoalmente, com tudo que tem acontecido com a linguagem, usar a`
			`mesma para qualquer projeto semi-sério (ou superior) é completamente`
			`estúpido.</p>`
			`<p>PS: Logo depois que eu postei esse artigo, eu recebi um aviso que o`
			`time do go anunciou uma nova versão que corrige uma vulnerabilidade na`
			`biblioteca "ssh" da stdlib. Mais uma vez, usar go para um projeto que`
			`é pelo menos semi-sério é estupidez.</p>`

			`</div>`




			`</div>`

			`</body>`

			`</html>`