Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Опасные уязвимости в утилитах beep и patch, opennews (??), 11-Апр-18, (0) [смотреть все] Звучит как шутка, Аноним (-), 10:41 , 11-Апр-18, (1) // beep у меня в Debian-е установлен с SUID Там наверху написано, что устаревшший , Andrey Mitrofanov (?), 11:07 , 11-Апр-18, (11) +3 // А зачем ты его установил и поставил на него SUID , Аноним (-), 13:32 , 11-Апр-18, (41) –2 // бикоз ай кен можно Спасибо Это http git deb at w pkg beep git blob HEAD de, Andrey Mitrofanov (?), 13:39 , 11-Апр-18, (46) +1 The code is quite short so it should be clear that it s not exploitable Awesom, _ (??), 15:26 , 12-Апр-18, (121) +1 Это же элементарно, Ватсон Ему нравится бибикать и все портить , Аноним (-), 12:56 , 12-Апр-18, (116) +2 Уязвимость в пищалке операционной системы, готовой для десктопа и использующей, Аноним (-), 11:09 , 11-Апр-18, (12) +5 // Да, это близко к уязвимости в анимированых иконках у винды https www cvedetail, XoRe (ok), 11:25 , 11-Апр-18, (15) // Не придирайся к мелочам , Аноним (-), 11:34 , 11-Апр-18, (18) +1 Очень, очень плохая попытка перекинуть с больной головы на здоровую Уязвимость , Totally_Free_BSD (?), 11:34 , 11-Апр-18, (19) –3 А в ср ном вантузе - в иконках В 2018 году Единственнон что хорошо делает - эт, _ (??), 18:01 , 11-Апр-18, (75) –5 Даже открывать ссылку не обязательно, чтобы увидеть, что речь идёт про 2007 год , PereresusNeVlezaetBuggy (ok), 19:57 , 11-Апр-18, (81) +2 Эдак ежели вы будете перстом вонзать на каждого отрока опеннета вна его некоммен, Аноним (-), 00:37 , 12-Апр-18, (91) +1 Мой добрый друг, мудрость и правота ваши несомненны Мне, ничтожному, остаётся л, PereresusNeVlezaetBuggy (ok), 00:45 , 12-Апр-18, (93) Ну набери в поиск linux thumbnail vulnerability найдёшь что-то свежее Причём т, iPony (?), 05:39 , 12-Апр-18, (105) +3 Ну я бы не стал драматизировать или ещё что там ировать Проверил на десктопной , iPony (?), 11:46 , 11-Апр-18, (22) +3 Расслабься, по умолчанию она не установлена , Аноним (-), 13:36 , 11-Апр-18, (43) +6 Я не нашёл её ни в генту, ни в убунте, ни в дебиане Её, видимо, надо специально, Ordu (ok), 19:40 , 11-Апр-18, (80) +3 // Может быть потому, что с помощью echo не воспроизвести подобное beep -f 659 -l 4, Аноним (-), 21:14 , 12-Апр-18, (123) +2 лол Да Скорее всего , Ordu (ok), 21:56 , 12-Апр-18, (124) Ну так только идиоты ставят всякий шлак в систему, тем более на серверы Это во-, all_glory_to_the_hypnotoad (ok), 22:12 , 11-Апр-18, (87) Вот _это_ и есть beep Причём если от убунтушников такое совершенно бы не уди, Michael Shigorin (ok), 23:27 , 11-Апр-18, (88) –3 // Как на счет исправления CVE в Path в Альте Убунтушники уже исправили во всех по, mikhailnov (ok), 08:37 , 12-Апр-18, (107) +1 CODE dpkg-reconfigure beep CODE Дата и содержание сего http git deb at w pkg, Andrey Mitrofanov (?), 10:34 , 12-Апр-18, (111) У дебианщиков ЭТО у меня не обнаружено ни в одной инсталляции дебиана И в убунт, Аноним (-), 13:07 , 12-Апр-18, (119) Стоп Т е чтобы записать 4 байта под рутовыми правами нужно уже иметь права roo, A.Stahl (ok), 10:41 , 11-Апр-18, (2) // Читайте внимательнее, в ходе race condition символическая ссылка заменяется ссы, Аноним (-), 10:47 , 11-Апр-18, (8) При создании симлинка из home user в dev права не проверяются, Аноним (-), 10:51 , 11-Апр-18, (10) +2 // Да не ужели , Олег (??), 20:14 , 11-Апр-18, (83) –1 // В новости написано ссылка НА dev input event0 , а не в , km (??), 21:16 , 11-Апр-18, (85) внезапно, для создания символических ссылок не нужны root-права, Нанобот (ok), 13:54 , 11-Апр-18, (48) +1 // ln -s dev event0 HOME my-event, BSA (?), 21:31 , 11-Апр-18, (86) Наконец-то стало ясно, каким именно способом vi пищит и все портит , Аноним (-), 10:42 , 11-Апр-18, (3) +42 // Спалился, бэкдор АНБшный , Аноним (-), 11:46 , 11-Апр-18, (21) –4 Пищит он только в неопытных руках Проявите уже терпимость и испортите что-нибуд, Аноним (-), 00:48 , 12-Апр-18, (94) dpkg -l 124 grep beep 124 wc -l0, Аноним (-), 10:42 , 11-Апр-18, (4) +1 // и в генте нету , Аноним (-), 13:08 , 11-Апр-18, (32) +1 // А если https duckduckgo com q beep site gentoo org найду , Andrey Mitrofanov (?), 13:32 , 11-Апр-18, (42) // N app-misc beep 1 3-r3 The advanced PC speaker beeper , SysA (?), 15:49 , 12-Апр-18, (122) выучи уж grep -c раз решил говорить на баше вместо русского, annual slayer (?), 14:05 , 11-Апр-18, (50) –3 // Ты человеку тычешь опцией утилиты grep из-за bash, тогда как корректно с точки з, Аноним (-), 16:11 , 11-Апр-18, (62) А что дальше , уязвимость в утилите cat позволяющая убить фс , Berkwit (?), 10:45 , 11-Апр-18, (6) –1 // Фигня вопрос cat dev urandom dev sda от рута - и получишь что хотел Не хоч, Аноним (-), 11:52 , 11-Апр-18, (23) +1 // тогда не на cat, а на tee надо, cat вроде не умеет , Аноним (-), 13:26 , 11-Апр-18, (39) // Ставь на bin bash, чтобы наверняка , Аноним (-), 13:38 , 11-Апр-18, (44) +5 Не умеет что , Аноним (-), 11:33 , 12-Апр-18, (112) Не умеет запуститься самостоятельно после того, как шелл этого не сделал, облома, Аноним (-), 15:34 , 13-Апр-18, (125) Знак больще обрабатывается не cat ом, а текущим шеллом Поэтому здесь даже ре, Аноним (-), 11:53 , 12-Апр-18, (113) // больщеКапец как перед братьями-анонимами неудобно , Аноним (-), 11:55 , 12-Апр-18, (114) +2 suid на cat тут не поможет , pashev.ru (?), 23:36 , 02-Дек-22, (127) Slackware-Current Fri Apr 6 20 47 43 UTC 2018a patch-2 7 6-x86_64-2 txz Rebui, z (??), 10:46 , 11-Апр-18, (7) +1 // Увы, шлакварь теперь даже за дистр не держат как будто deb-base помойка лучше, Аноним (-), 12:18 , 11-Апр-18, (27) –3 // - Это не дистр сказали люди, юзающие не славкарь- Ну вот и подождёте сказали, z (??), 17:58 , 11-Апр-18, (74) +2 beepCommand beep not found, but can be installed with sudo apt install beep, Аноним (-), 11:31 , 11-Апр-18, (16) –2   // А когда в ядре уязвимость найдут чем будешь хвастаться Этим , Аноним (-), 14:21 , 11-Апр-18, (53) –3   // MSYS_NT-6 1, Аноним (-), 17:26 , 11-Апр-18, (70)   // MSYS_NT-10 0Нда, вот и померялись uname Вообще-то, это GNU Coreutils И если в , Аноним (-), 13:05 , 12-Апр-18, (118)   Кисо ты чего нервное такое Сколько уже было уязвимостей и сколько ещё будет , _ (??), 18:26 , 11-Апр-18, (77)   // Так четверг, до субботы еще 2 дня Нервное время недели , Аноним (-), 00:53 , 12-Апр-18, (95)   В Gentoo beep не стоит по умолчанию, и собирается без suid P, Perlovka (ok), 11:32 , 11-Апр-18, (17) +7 // Отлично Жалко гентой никто не пользуется , Аноним (-), 14:21 , 11-Апр-18, (54) –3 // Да, настолько не пользуются, что это единственный дистр, до сих пор собирающийся, Perlovka (ok), 15:15 , 11-Апр-18, (59) +1 Восславим святую корову , Гентушник (ok), 15:48 , 11-Апр-18, (60) В Arch тоже beep по умолчанию нет, Аноним (-), 12:02 , 11-Апр-18, (24) // В дебиане по умолчанию тоже Как они его там нашли , rshadow (ok), 12:16 , 11-Апр-18, (26) // beep - это внутренняя команда оболочки, нет , iZEN (ok), 13:22 , 11-Апр-18, (37) –3 // Расскажи, как поставить SUID на встроенную команду оболочки , Аноним (-), 13:39 , 11-Апр-18, (45) +2 В proc , iZEN (ok), 14:34 , 11-Апр-18, (56) А подробнее , Аноним (-), 14:51 , 11-Апр-18, (57) Иди В proc , Аноним (-), 11:58 , 12-Апр-18, (115) и при этом запуск скриптов из пакетов установки deb rpm не является уязвимостью , J.L. (?), 12:29 , 11-Апр-18, (28) // Пакеты устанавливаются из доверенного источника администратором системы Патчи не, PereresusNeVlezaetBuggy (ok), 12:42 , 11-Апр-18, (31) // тоесть вначале делаем разсобираем из этого пакетыа потом делаем двавам самим не , J.L. (?), 20:00 , 11-Апр-18, (82) // gt оверквотинг удален А причём здесь патчи, которые идут в пакеты Я среди них, PereresusNeVlezaetBuggy (ok), 20:16 , 11-Апр-18, (84) блжад, вы очередной неуловимый джо тоесть вы хотите подождать пока вы станете , JL2001 (ok), 00:14 , 12-Апр-18, (89) –1 Если вы не доверяете поставщику родных пакетов для вашей ОС, то, простите, а как, PereresusNeVlezaetBuggy (ok), 00:35 , 12-Апр-18, (90) я доверяю дефолтрепуи не доверяю репу вайннайнавайннайн и НЁХ в нём я буду запус, JL2001 (ok), 01:10 , 12-Апр-18, (96) gt оверквотинг удален Опасное приложение в контейнере Смело, смело Почему бы , PereresusNeVlezaetBuggy (ok), 01:39 , 12-Апр-18, (97) gt оверквотинг удален да, я согласен, особенно про X-ы и безопасность, но скри, JL2001 (ok), 01:58 , 12-Апр-18, (98) То есть если тебя поимеют через устанавливаемый суидный бинарь или юнит системГ , angra (ok), 02:04 , 12-Апр-18, (100) при установке расчитываешь что dpkg или rpm с оффрепозиториев - написаны хорошои, JL2001 (ok), 09:12 , 12-Апр-18, (108) И не установят, например, чуть-чуть обновлённый, совместимый по API, usr lib gl, PereresusNeVlezaetBuggy (ok), 10:21 , 12-Апр-18, (110) Это дыра при условии, что вы не доверяете поставщику пакетов в целом Но тогда п, PereresusNeVlezaetBuggy (ok), 02:04 , 12-Апр-18, (101) Ну ты то не наивный скрипт-кидис, ты сейчас возьмешь и покажешь как взломать ope, angra (ok), 02:01 , 12-Апр-18, (99) Цена вопроса , PereresusNeVlezaetBuggy (ok), 02:05 , 12-Апр-18, (102) Странный вопрос в наши дни Что намайнишь, всё твоё , angra (ok), 08:12 , 12-Апр-18, (106) +4 Вас понял Спасибо за ваше щедрое предложение, но оно мне не интересно , PereresusNeVlezaetBuggy (ok), 10:15 , 12-Апр-18, (109) +1 НЕ могу удержаться от троллинга beep-beep, mother ucker , Адекват (ok), 12:30 , 11-Апр-18, (29) –5 // И в чём суть троллинга Я не улавливаю ни шутки ни оскорбления , A.Stahl (ok), 12:34 , 11-Апр-18, (30) // Beepers gonna beep , Онаним (?), 13:12 , 11-Апр-18, (33) +5 забудь проехали , ыы (?), 13:13 , 11-Апр-18, (34) –1 отсылка к отсылке к крепкому орешку , Адекват (ok), 13:15 , 11-Апр-18, (35) –4 Шутка в имени пользователя , Аноним (-), 13:16 , 11-Апр-18, (36) +7 // Ахаха, Алконим (?), 04:04 , 12-Апр-18, (103) –1 ты не адекват, ты бабка с одноклассников, Аноним (-), 17:29 , 11-Апр-18, (72) Щито , anonymous (??), 13:23 , 11-Апр-18, (38) +1 // в оригинале речь идёт о SIGTERM, Нанобот (ok), 14:03 , 11-Апр-18, (49) +1 // В эксплоите именно SIGKILL https gist github com Arignir 0b9d45c56551af3996936, Аноним (-), 16:36 , 11-Апр-18, (66) –1 case SIGINT case SIGTERM if console_fd 0 Kill the sound, qu, Аноним (-), 16:31 , 11-Апр-18, (64) +2 Но выполняется по SIGINT, естественно , Аноним (-), 16:38 , 11-Апр-18, (67) Я не давно интересовался, этой функцией, у меня был ZX Spectrum там был BEEP,хот, redd (?), 14:09 , 11-Апр-18, (51) –6 В принципе, её можно и самому сделать, вроде не так сложно, , redd (?), 14:12 , 11-Апр-18, (52) –3 Это просто beep -l 1000 какой-то , Аноним (-), 14:34 , 11-Апр-18, (55) патч для beep интересный, эксплуатирует уязвимость в patch , 02726 (?), 15:12 , 11-Апр-18, (58) +4 // Ага, особенно улыбнуло A short beep should be heard if all hunks are applied su, Гентушник (ok), 16:04 , 11-Апр-18, (61) +1 Забавно видеть в комментариях к той новости надутые от ЧСВ щечки и гордо задранн, Аноним (-), 16:14 , 11-Апр-18, (63) +4 // Сколько желчи, сколько огня Жаль только, что перечитать пришлось 4 раза, чтобы , Аноним (-), 17:35 , 11-Апр-18, (73) +2 // Деепричастных там ни одного Да, перебор Объявлять это перебором втора, Andrey Mitrofanov (?), 18:12 , 11-Апр-18, (76) +1 // Вообще-то два Рекурсивных к тому же , Аноним (-), 15:43 , 13-Апр-18, (126) Судя по упорному минусованию, словопричастные к тому обсуждению перепончатые, вс, Аноним (-), 19:01 , 11-Апр-18, (79) –1 Без JS не работает , Аноним (-), 16:31 , 11-Апр-18, (65) +1 Надо запретить suid, Алконим (?), 04:06 , 12-Апр-18, (104) // Ущербную систему прав нужно запретить и уже использовать во всю CAP разрешения , Аноним (-), 13:02 , 12-Апр-18, (117) // Permission denied, Michael Shigorin (ok), 14:55 , 12-Апр-18, (120) 1,2,3,4,6,7,16,17,24,28,29,38,51,52,55,58,63,65,104

Сообщения

[Сортировка по времени | RSS]

16. "Опасные уязвимости в утилитах beep и patch"	–2 +/–
Сообщение от Аноним (-), 11-Апр-18, 11:31
>при этом во многих дистрибутивах, включая Debian и Ubuntu, утилита установлена >утилита установлена >установлена $  beep Command 'beep' not found, but can be installed with: sudo apt install beep
Ответить | Правка | Наверх | Cообщить модератору

	53. "Опасные уязвимости в утилитах beep и patch"	–3 +/–
	Сообщение от Аноним (-), 11-Апр-18, 14:21
	А когда в ядре уязвимость найдут чем будешь хвастаться? Этим? >"uname" не является внутренней или внешней командой, исполняемой программой или пакетным файлом windows
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Опасные уязвимости в утилитах beep и patch"	+/–
	Сообщение от Аноним (-), 11-Апр-18, 17:26
	> А когда в ядре уязвимость найдут чем будешь хвастаться? > Этим? >>"uname" не является внутренней или внешней командой, исполняемой программой или пакетным файлом windows MSYS_NT-6.1
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Опасные уязвимости в утилитах beep и patch"	+/–
	Сообщение от Аноним (-), 12-Апр-18, 13:05
	>> А когда в ядре уязвимость найдут чем будешь хвастаться? >> Этим? >>>"uname" не является внутренней или внешней командой, исполняемой программой или пакетным файлом windows >MSYS_NT-6.1 MSYS_NT-10.0 Нда, вот и померялись uname. Вообще-то, это GNU Coreutils. И если в нём будет уязвимость, венда тоже под раздачу попасть может. Если в чём-то тот чувак и прав, так это в том, что подобные проблемы должны затрагивать только пользователей данного юзерспейса и если мейнтейнер тыквоголовый и навязывает подобные сомнительные (и не нужные всем подряд) утилиты, это проблема для всех пользователей того дистрибутива. А дыра вполне очевидная, могли и раньше показать.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Опасные уязвимости в утилитах beep и patch"	+/–
	Сообщение от _ (??), 11-Апр-18, 18:26
	Кисо ты чего нервное такое? Сколько уже было уязвимостей и сколько ещё будет ... и даже пчёлы - фигня! (С) :)
	Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

	95. "Опасные уязвимости в утилитах beep и patch"	+/–
	Сообщение от Аноним (-), 12-Апр-18, 00:53
	Так четверг, до субботы еще 2 дня. Нервное время недели.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема