Black Hat Europe 2017: インタープリタ型人気プログラミング言語の脆弱性をファジングでテスト

securityaffairs.co

• Black Hat Europe 2017 で主要人気プログラミング言語にXDiFF ファジングテストを行った結果を発表
  • 調査対象言語: JavaScript, PHP, Python, Perl, Ruby
  • 調査意図:「セキュアプログラミングルールを守ってコーディングしても言語自体に脆弱性があれば悪用されうる」
  • 手法: Differential Fuzzing Test (XDiFF on GitHub)
  • 結果:
    • Python: 文書化されていないメソッドとローカル環境変数があり、OS コマンドを実行できる
    • Perl: eval() のようなコードを実行できる typemaps 関数がある
    • NodeJS: ファイルの内容を部分的に開示するエラーメッセージを出力する
    • JRuby: リモートコード実行を意図していない関数でリモートコードをロード・実行
    • PHP: 定数名をリモートコマンド実行に利用できる
• 白書 (英語)