Lua Скриптовый язык программирования

Продукт
Технологии: Средства разработки приложений

Содержание

Основные сатьи:

Lua — скриптовый язык программирования, разработанный в подразделении Tecgraf (Computer Graphics Technology Group) Католического университета Рио-де-Жанейро (Бразилия). Интерпретатор языка является свободно распространяемым, с открытыми исходными текстами на языке Си.

По идеологии и реализации язык Lua ближе всего к JavaScript, в частности, он также реализует прототипную модель ООП, но отличается паскалеподобным синтаксисом и более мощными и гибкими конструкциями. Характерной особенностью Lua является реализация большого числа программных сущностей минимумом синтаксических средств. Так, все составные пользовательские типы данных (массивы, структуры, множества, очереди, списки) реализуются через механизм таблиц, а механизмы объектно-ориентированного программирования, включая множественное наследование — с использованием метатаблиц, которые также отвечают за перегрузку операций и ряд других возможностей.

Lua предназначен для пользователей, не являющихся профессиональными программистами, вследствие чего большое внимание уделено простоте дизайна и лёгкости обучения. Язык используется для создания тиражируемого программного обеспечения (например, на нём написан графический интерфейс пакета Adobe Lightroom)[1].

2022: Исправление уязвимости, позволяющей удаленно выполнить код

Ботнет Muhstik атакует серверы Redis (сокр. от Remote Dictionary Server, быстрое хранилище данных типа «ключ‑значение» в памяти с открытым исходным кодом). Об этом стало известно 29 марта 2022 года.

Вредоносное ПО эксплуатирует уязвимость обхода песочницы в Lua (CVE-2022-0543).

Уязвимость получила 10 из 10 баллов по шкале оценивания опасности и позволяет удаленно выполнить код на системе с уязвимым ПО.

Как сообщается в опубликованном в феврале 2022 года уведомлении безопасности Ubuntu, «из-за проблем с пакетом удаленный злоумышленник, имеющий возможность выполнять произвольные скрипты Lua, может обходить песочницу Lua и выполнять произвольный код на хосте».

Согласно данным телеметрии Juniper Threat Labs, атаки с использованием данной уязвимости начались 11 марта 2022 года. Атаки заключаются в извлечении с удаленного сервера вредоносного shell-скрипта russia.sh, который затем извлекает и выполняет код ботнета с другого сервера.

Впервые задокументированный специалистами китайской ИБ-компании Netlab 360 ботнет Muhstik активный с марта 2018 года и используется для майнинга криптовалюты и осуществления DDoS-атак.

Вредонос способен распространяться подобно червю на Linux- и IoT-устройствах наподобие домашних маршрутизаторов GPON, DD-WRT и Tomato. За последние несколько лет он эксплуатировал следующие уязвимости:

  • CVE-2017-10271 (оценка CVSS 7,5 балла) – уязвимость проверки вводимых данных в компоненте Oracle WebLogic Server пакета программ Oracle Fusion Middleware;
  • CVE-2018-7600 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Drupal;
  • CVE-2019-2725 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Oracle WebLogic Server;
  • CVE-2021-26084 (оценка CVSS 9,8 балла) – уязвимость инъекции OGNL (Object-Graph Navigation Language) в Atlassian Confluence;
  • CVE-2021-44228 (оценка CVSS 10,0 балла) – уязвимость удаленного выполнения кода в Apache Log4j (Log4Shell).

«
Бот подключается к IRC-серверу для получения команд, включая загрузку файлов, выполнение shell-команд, осуществление DDoS-атак и брутфорс SSH, – сообщается в отчет Juniper Threat Labs.
»

В связи с эксплуатацией уязвимости CVE-2022-0543 в хакерских атаках пользователям настоятельно рекомендуется как можно скорее обновить свои серверы Redis до последней версии[2].

Языки программирования

Примечания



СМ. ТАКЖЕ (1)


Подрядчики-лидеры по количеству проектов

За всю историю
2019 год
2020 год
2021 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2019 год
2020 год
2021 год
Текущий год