forum.opennet.ru

"Уязвимость в реализации автодополнения ввода в Bash"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Это просто непростительно, дайте нам другие программы!"	+2 +/–
Сообщение от Марицуми (?), 08-Фев-17, 19:48
Сабжевая уязвимость не в bash-completion, а именно в самом голом bash 4.4 с тупым автодополнением по filename/PATH. За что меня минусуют, что не так то? https://www.cvedetails.com/vulnerability-list/vendor_id-72/p... 2 уязвимости за 2016, одна за 2017. В то время как https://www.cvedetails.com/vulnerability-list/vendor_id-7498.... В GNU вообще слышали про юнит-тесты, всякое такое?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в реализации автодополнения ввода в Bash, opennews, 08-Фев-17, 12:10 [смотреть все]

А в чём практический смысл Если я уже нахожусь на сервере и могу пользоваться к, Аноним, 08-Фев-17, 12:10 (1) //
- Можно оставить такой файл в системе и надеяться, что администратор под рутом наж, Аноним, 08-Фев-17, 12:17 (2) //
  - Администратор под рутом не должен запускать скрипты, которые можно было редактир, Аноним, 08-Фев-17, 12:29 (4) //
    - так он не узнает что запустил скрипт , Аноним, 08-Фев-17, 12:47 (5)
- Спросите дистрибутивы, где раздают беспарольное sudo, например , Michael Shigorin, 08-Фев-17, 13:11 (9) //
  - Например PuppyLinux, Аноним, 08-Фев-17, 14:21 (19) //
    - Он как бы специализированный И кстати в режиме LiveUSB в Ubuntu есть sudo, тоже, Аноним, 08-Фев-17, 15:20 (22)
традиционный опеннет - читать по-английски люди не умеют, но новость ляпнуть нор, Аноним, 08-Фев-17, 13:18 (10) //
- Знатно ты в лужу газанул ls touch HereBeDragons , Аноним, 08-Фев-17, 13:27 (11) //
  - что, впрочем, не отменяет необходимости читать оригинал , Аноним, 08-Фев-17, 13:33 (14)
- We can create a file with a specially crafted file name Auser trying to use ba, Аноним, 08-Фев-17, 13:36 (15) //
  - кто-то может подтвердить нету у меня новых-модных систем, свежайший bash из до, пох, 08-Фев-17, 14:45 (20) //
    - Вон выше есть код для проверки Собрал bash и проверил, работает как описано , Аноним, 08-Фев-17, 15:18 (21)
      - а руками набранный cd touch dev shm delme tab не собирать же мне это ур, ., 08-Фев-17, 15:57 (23)
- Написано, что запускать не нужно, достаточно tab нажать A user utilizing GNU Ba, Аноним, 08-Фев-17, 13:46 (17)
- Это ты не так понял, в новости всё правильно написано Для запуска кода достаточ, Аноним, 08-Фев-17, 13:51 (18)
Мда Ну хоть su без дырок , ryoken, 08-Фев-17, 13:31 (13) //
- Программы без дырок Насмешил А если даже были бы идеальные программы в вакууме, Аноним, 08-Фев-17, 13:42 (16)
На что переходить теперь, на zsh Чтобы поменьше решета А то шеллшок на шеллшок, Марицуми, 08-Фев-17, 15:58 (24) //
- О, моя жена любит делать себе шеллак в салоне красоты, Аноним, 08-Фев-17, 17:05 (25)
- ответ зависит от того заминусованного вопроса - cработает ли эксплойт не для и, пох, 08-Фев-17, 18:31 (27) //
  - Сабжевая уязвимость не в bash-completion, а именно в самом голом bash 4 4 с тупы , Марицуми, 08-Фев-17, 19:48 (32) //
    - А ты слепой что ли http git savannah gnu org cgit bash git tree tests, Аноним, 08-Фев-17, 21:00 (39)
    - было б оно тупое - не было б уязвимости А оно не тупое - пытается исполнять ком, пох, 08-Фев-17, 23:47 (41)
В альте старый баш , верещали они , Michael Shigorin, 08-Фев-17, 17:59 (26) //
- альт распологал инсайдерской информацией об этой уязвимости , annual slayer, 08-Фев-17, 19:11 (28) //
  - В данном разе, как понимаю, нет , Michael Shigorin, 08-Фев-17, 19:23 (29)
- А почему в ал те баш а не какой нибудь zsh, Линукс еще не готов, 09-Фев-17, 05:12 (42) //
  - Ребят, вы смеётесь Уж на что bash развесистый в плане фич, так zsh его обходит , PereresusNeVlezaetBuggy, 09-Фев-17, 07:58 (45) //
    - Как многолетний пользователь zsh, майнтейнер пакета pdksh и ловец плюх в d ash , Michael Shigorin, 09-Фев-17, 16:05 (47)
      - ты лучше скажи, на что менять bin sh Учитывая миллион кривых скриптов да хот, пох, 10-Фев-17, 00:17 (49)
        
        У нас это собранный по минимуму bash3 по крайней мере доныне , Michael Shigorin, 10-Фев-17, 00:47 (51)
        
        ну и вот чего в нем хорошего Дыр в нем - было, сколько неанонсированных или воо, пох, 10-Фев-17, 12:16 (52)
        
        Вот это , Michael Shigorin, 10-Фев-17, 12:36 (53)
        
        Почему никто уничижительно не вопит про те, кто пишет bin bash, а не usr , Аноним, 11-Фев-17, 16:41 (54)
Кстати культура коммитов удивительно уродская для такого проекта , Аноним, 08-Фев-17, 20:33 (37) //
- для проекта, начатого во времена sccs - неудивительно , пох, 10-Фев-17, 00:18 (50)
Так не работает же GNU bash, version 4 4 11 1 -release x86_64-unknown-linux-gn, Аноним, 08-Фев-17, 22:32 (40) //
- Может потому, что в 4 4 11 1 исправили , Аноним, 09-Фев-17, 05:37 (43)
это вам не systemd, это хорошая, отлаженная система, Аноним, 09-Фев-17, 13:55 (46)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру