jbiason
/
blog
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity
The source content for blog.juliobiason.me
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
1329 Commits
1 Branch
220 Tags
9.0 MiB
 
Tree: b16cae6321
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from 'b16cae6321'
${ noResults }
blog/public/pt/links/go-xml-vulnerability/index.html

151 lines
7.1 KiB
Raw Blame History

<!DOCTYPE html>
<html lang="en">
<head>
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<!-- Enable responsiveness on mobile devices-->
<!-- viewport-fit=cover is to support iPhone X rounded corners and notch in landscape-->
<meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1, viewport-fit=cover">
<title>Julio Biason .Me 4.3</title>
<!-- CSS -->
<link rel="stylesheet" href="https://blog.juliobiason.me/print.css" media="print">
<link rel="stylesheet" href="https://blog.juliobiason.me/poole.css">
<link rel="stylesheet" href="https://blog.juliobiason.me/hyde.css">
<link rel="stylesheet" href="https://fonts.googleapis.com/css?family=PT+Sans:400,400italic,700|Abril+Fatface">
</head>
<body class=" ">
<div class="sidebar">
<div class="container sidebar-sticky">
<div class="sidebar-about">
<a href="https:&#x2F;&#x2F;blog.juliobiason.me"><h1>Julio Biason .Me 4.3</h1></a>
<p class="lead">Old school dev living in a 2.0 dev world</p>
</div>
<ul class="sidebar-nav">
<li class="sidebar-nav-item"><a href="&#x2F;">English</a></li>
<li class="sidebar-nav-item"><a href="&#x2F;pt">Português</a></li>
<li class="sidebar-nav-item"><a href="&#x2F;tags">Tags (EN)</a></li>
<li class="sidebar-nav-item"><a href="&#x2F;pt&#x2F;tags">Tags (PT)</a></li>
</ul>
</div>
</div>
<div class="content container">
<div class="post">
<h1 class="post-title">Link Comentado: Coordinated disclosure of XML round-trip vulnerabilities in Go’s standard library</h1>
<span class="post-date">
2020-12-14
<a href="https://blog.juliobiason.me/pt/tags/links/">#links</a>
<a href="https://blog.juliobiason.me/pt/tags/go/">#go</a>
<a href="https://blog.juliobiason.me/pt/tags/google/">#google</a>
<a href="https://blog.juliobiason.me/pt/tags/golang/">#golang</a>
<a href="https://blog.juliobiason.me/pt/tags/xml/">#xml</a>
<a href="https://blog.juliobiason.me/pt/tags/vulnerabilidade/">#vulnerabilidade</a>
</span>
<p>Mattermost, junto com o Google, anunciou a <a href="https://mattermost.com/blog/coordinated-disclosure-go-xml-vulnerabilities">vulnerabilidade na
biblioteca XML padrão do
Go</a>. Tem
algumas coisas que precisam ser examinadas nesse anúncio.</p>
<span id="continue-reading"></span>
<p>Antes de mais nada, eu preciso avisar que eu nunca gostei de Go. Eu
não gosto da forma como a organização lida com a comunidade, eu não
gosto da forma como são lidados com os erros, e eu não gosto do estilo
de código que eles usam. Eu uso qualquer oportunidade para xingar a
linguagem. Mas dessa vez, eu acho que a coisa ficou tão errada que não
tem como não falar mal.</p>
<p>Primeiro, ok, tem uma vulnerabilidade na biblioteca de XML. A
vulnerabilidade em si não é grande coisa -- basicamente, o que
acontece é que a biblioteca não mantém a ordem dos elementos conforme
a entrada -- mas o seu uso em coisas maiores, como o SAML, afeta a
forma como elas são liadas. Basicamente, algo que parece um XML/SAML
bem formado vai ser interpretado da forma errada porque o sistema está
mudando a semântica da coisa por mudar a ordem dos elementos.</p>
<p>Segundo, desde que a vulnerabilidade foi encontrada, o time de
segurança do go estava trabalhando na correção, sem sucesso. A solução
depois disso foi que &quot;a causa raiz da vulnerabilidade não pode ser
corrigida de forma confiável.&quot; Isso quer dizer que a biblioteca padrão
agora tem uma vulnerabilidade que não pode ser corrigida.</p>
<p>Terceiro, essa vulnerabilidade foi encontrada em agosto deste ano e só
agora, quatro meses depois, a vulnerabilidade foi divulgada e
anunciada que não pode ser corrigida. Isso é bem enfurecedor porque o
Google tem um projeto chamado &quot;Project Zero&quot;, criado para encontrar e
relatar falhas de seguranças em vários produtos. O problema é que essa
é a terceira vulnerabilidade não-tão-pequena no código do go e nenhuma
delas foi encontrada pelo Project Zero. Por outro lado, eles são bem
rápidos para encontrar e apontar -- depois de um prazo de 30 dias --
problemas no Windows e no iOS, por exemplo.</p>
<p>Ah, e caso você esteja se perguntando quais foram essas outras
vulnerabilidades: a primeira era relacionada com <a href="https://twitter.com/peter_szilagyi/status/1332047468004077569">bibliotecas
criptográficas</a>
e basicamente afetou aplicações que usam Etherium. A segunda foi um
problema com a biblioteca &quot;http&quot;, que poderia levar a uma <a href="https://www.bleepingcomputer.com/news/security/severe-flaws-in-kubernetes-expose-all-servers-to-dos-attacks/">negação de
serviço no
Kubernete</a>.</p>
<p>Ainda... Quatro meses e nada de solução? Isso dá a sensação de que tem
algo seriamente errado com a arquitetura interna da linguagem, que
não permite que algo como ordenação seja aplicada.</p>
<p>Mas de volta ao problema inicial: Quarto, a empresa que trabalhou com
o Google e ajudou a tentar corrigir o problema apontam que eles não
acreditam que a solução apresentada pelo time do go vai realmente
corrigir o problema. Nas palavras deles, parece que o Google só quer
jogar o problema pra baixo do tapete e, quando a coisa explicar, eles
possam dizer &quot;é seu problema, nós avisamos&quot;.</p>
<p>A solução do Google é, basicamente, &quot;nós vamos botar na documentação e
esperar pelo menor&quot;. Então, sem correção de verdade. Honestamente, a
solução correta nesse caso seria remover a coisa toda e deixar alguém,
por sorte mais inteligente, escrever uma biblioteca XML correta. Nós
dizemos que nenhuma documentação é melhor que uma documentação errada,
então nenhuma biblioteca XML é melhor que uma biblioteca XML
vulnerável.</p>
<p>Outra solução seria criar bindings para a libxml2, que é uma
biblioteca em C que serve como base para as necessidades de XML de
outras linguagens. Isso significaria que a biblioteca padrão do go
necessitaria outras bibliotecas para ser construída.</p>
<p>Pessoalmente, com tudo que tem acontecido com a linguagem, usar a
mesma para qualquer projeto semi-sério (ou superior) é completamente
estúpido.</p>
<p>PS: Logo depois que eu postei esse artigo, eu recebi um aviso que o
time do go anunciou uma nova versão que corrige uma vulnerabilidade na
biblioteca &quot;ssh&quot; da stdlib. Mais uma vez, usar go para um projeto que
é pelo menos semi-sério é estupidez.</p>
</div>
</div>
</body>
</html>