2022年04月03日
本周在DEF CON大会上,由多名安全研究人员披露十进制和八进制混合IP地址解析漏洞,多种语言受影响,包括Go和Rust的官方类库net。以及Python的标准库ipaddress。
概述
Go和 Rust语言中常用的net库,受到混合格式IP 地址验证漏洞的影响。该漏洞源于库中对IP地址处理时候将八进制-十进制)格式混合格式的八进制的数据当作十进制有关。
所有使用这次基础库的应用程序可能会受到不确定的服务器端请求伪造(SSRF) 和远程文件包含(RFI) 漏洞的攻击。
因为该基础库被广使