Vulnerabilidad en Gentoo soko (CVE-2023-26033)

Gentoo soko es el código que impulsa a packages.gentoo.org. Las versiones anteriores a la 1.0.1 son vulnerables a la inyección SQL, lo que provoca una denegación de servicio. Si el usuario selecciona (en las preferencias del usuario) la vista "Paquetes visitados recientemente" para la página de índice, el valor de la cookie `search_history` se utiliza como una lista de átomos separados por comas codificados en base64. Estas son cadenas cargadas directamente en la consulta SQL con una cadena de formato `atom = '%s'`. Como resultado, cualquier usuario puede modificar el valor de la cookie del navegador e inyectar la mayoría de las consultas SQL. Se generó una cookie de prueba de concepto con formato incorrecto que borró la base de datos o cambió su contenido. En la base de datos, sólo se almacenan datos públicos, por lo que no hay problemas de confidencialidad para los usuarios del sitio. Si se sabe que la base de datos fue modificada, es posible realizar una restauración completa de los datos realizando un borrado completo de la base de datos y una actualización completa de todos los componentes. Este problema se solucionó en el commit con ID 5ae9ca83b73. La versión 1.0.1 contiene el parche. Si los usuarios no pueden actualizar inmediatamente, se pueden aplicar los siguientes wokarounds: (1.) Utilice un proxy para descartar siempre la cookie `search_history` hasta que se actualice. El impacto en la experiencia del usuario es bajo. (2.) desinfectar el valor de la cookie `search_history` después de decodificarla en base64.