Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Rust

Rust

Library “net” di bahasa pemrograman Rust, Go mendapatkan dampak dari kerentanan validasi alamat IP kritis

by

Library “net” yang umum digunakan dalam bahasa Go dan Rust juga terpengaruh oleh kerentanan validasi alamat IP format campuran.

Bug tersebut berkaitan dengan bagaimana net memperlakukan alamat IP sebagai desimal, bahkan ketika disediakan dalam format campuran (oktal-desimal).

Akibatnya, aplikasi yang mengandalkan jaringan bisa rentan terhadap kerentanan Server-Side Request Forgery (SSRF) dan Remote File Inclusion (RFI) yang tidak dapat ditentukan.

Sebelumnya, cacat tersebut berdampak pada berbagai implementasi library netmask, yang diandalkan oleh ribuan aplikasi. Kemudian, library standar Python yang disebut ipaddress juga ditemukan rentan terhadap cacat tersebut.

Kerentanan, dilacak sebagai CVE-2021-29922 (untuk Rust) dan CVE-2021-29923 (untuk Golang) menyangkut bagaimana net menangani alamat IP format campuran, atau lebih khusus lagi ketika alamat IPv4 desimal berisi nol di depan.

Menurut pengelola proyek, modul net Golang akan memiliki tambalan yang dikeluarkan dalam (beta) versi 1.17.

Untuk Rust, perbaikan telah digabungkan di library net, seperti yang dikonfirmasi oleh BleepingComputer:

Sumber: BleepingComputer

Selengkapnya: Bleeping Computer

Google mendanai proyek untuk mengamankan server web Apache dengan komponen Rust baru

by

Google mendanai proyek di Internet Security Research Group untuk memindahkan komponen penting dari proyek server web HTTP Apache dari bahasa pemrograman C yang rawan bug ke alternatif yang lebih aman bernama Rust.

Modul yang dimaksud disebut mod_ssl dan merupakan modul yang bertanggung jawab untuk mendukung operasi kriptografi yang diperlukan untuk membuat koneksi HTTPS di server web Apache.ISRG mengatakan berencana untuk mengembangkan modul baru yang disebut mod_tls yang akan melakukan hal yang sama tetapi menggunakan bahasa pemrograman Rust daripada C.
Modul ini akan didasarkan pada Rustls; pustaka sumber terbuka Rust dikembangkan sebagai alternatif untuk proyek OpenSSL berbasis C.

Menurut W3Techs, server web HTTP Apache adalah teknologi server web teratas saat ini, digunakan saat ini oleh 34,9% dari semua situs web yang teknologi server webnya dikenal.

“Apache httpd masih merupakan bagian infrastruktur yang sangat penting, 26 tahun setelah dimulainya,” kata Brian Behlendorf, salah satu pembuat server web Apache.

Dikembangkan menggunakan sponsor dari Mozilla, Rust diciptakan untuk membuat bahasa pemrograman multiguna yang lebih aman digunakan, tingkat rendah, sebagai alternatif untuk C dan C ++.

Tidak seperti C dan C ++, Rust dirancang sebagai bahasa pemrograman yang aman untuk memori yang dilengkapi dengan perlindungan terhadap masalah manajemen memori yang sering mengakibatkan kelemahan keamanan yang berbahaya.

Kerentanan keamanan memori telah mendominasi bidang keamanan selama beberapa dekade terakhir dan sering menyebabkan masalah yang dapat dimanfaatkan untuk mengambil alih seluruh sistem, dari desktop hingga server web dan dari ponsel cerdas hingga perangkat IoT.

Microsoft mengatakan pada 2019 bahwa persentase masalah keamanan memori yang ditambal dalam perangkat lunaknya telah mencapai sekitar 70% dari semua bug keamanan selama 12 tahun terakhir.

Pada tahun 2020, Google menggemakan angka yang sama ketika tim Chrome mengatakan bahwa 70% dari bug yang ditambal di browser webnya juga merupakan masalah terkait memori.

Dengan statistik seperti itu dari Google dan Microsoft, dan dengan hampir dua pertiga dari seluruh situs web sekarang dialihkan ke HTTPS, porting modul mod_ssl Apache ke Rust adalah cara sederhana dan cepat untuk memastikan miliaran pengguna tetap aman di tahun-tahun mendatang.

Source : ZDnet