The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от opennews (??), 08-Фев-19, 10:20 
Несколько недавно анонсированных опасных уязвимостей:

-   Опубликован (https://source.android.com/security/bulletin/2019-02-01.html) февральский набор исправлений проблем с безопасностью для платформы Android, в котором устранены 42 уязвимости. 11 проблемам присвоен критический уровень опасности. Наиболее опасными признаны уязвимости CVE-2019-1986, CVE-2019-1987 и CVE-2019-1988, позволяющие удалённому атакующему выполнить свой код на устройстве при обработке специально оформленного изображения в формате PNG. Уязвимости могут быть эксплуатированы в любых приложениях, в которых используется предоставляемый системой обработчик PNG, в том числе в контексте привилегированных процессов.


Кроме того, критические уязвимости устранены в Bluetooth-стеке, библиотеке libnvomx (NVIDIA), загрузчике  Qualcomm и проприетарных драйверах Qualcomm, которые позволяют организовать выполнение кода с повышенными привилегиями при обработке специально подготовленных злоумышленником данных, в том числе поступающих извне. Например, уязвимости в  Bluetooth-стеке могут быть эксплуатированы через отправку определённых запросов по Bluetooth, а уязвимость в
libnvomx может проявиться при попытке обработки в данной библиотеке
специально оформленных видеопотоков;

-  Во FreeBSD 12  устранена уязвимость (https://www.mail-archive.com/freebsd-announce@freebsd.o...) (CVE-2019-5596), которую можно использовать для получения локальным пользователем root-привилегий или для выхода из изолированных окружений Jail. Проблема вызвана некорректной обработкой в ядре управляющих сообщений при передаче прав, что позволяет использовать UNIX-сокеты для передачи другому процессу прав, привязанных к файловым дескрипторам.  Кроме того, во всех поддерживаемых ветках FreeBSD выявлена уязвимость (https://www.mail-archive.com/freebsd-announce@freebsd.o...) (CVE-2019-5595) в реализации системных вызовов, которая может привести к утечке информации из структур ядра;

-  В свободных пакетах FreeRDP (http://www.freerdp.com/) и
rdesktop (https://www.rdesktop.org/), реализующих протокол RDP для удалённого доступа к рабочему столу, выявлены (https://research.checkpoint.com/reverse-rdp-attack-code-exec.../) 24 опасные уязвимости, при помощи которых можно организовать выполнение кода на стороне клиента при его подключении по протоколу RDP к рабочей станции, подконтрольной злоумышленнику. 6 проблем выявлено во FreeRDP и 19 в
rdesktop. Уязвимости без раскрытия деталей были устранены в осеннем обновлении FreeRDP 2.0.0rc4 (https://github.com/FreeRDP/FreeRDP/releases) и январском обновлении rdesktop 1.8.4 (https://github.com/rdesktop/rdesktop/releases). С практической стороны уязвимости могут использоваться, например, для атаки на компьютеры администратора при получении контроля за одной из рабочих станций в корпоративной сети, или для атак на исследователей безопасности, использующих RDP для подключения к виртуальной машине с исследуемым вредоносным ПО.


URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=50113

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (1), 08-Фев-19, 10:20 
Ну все, и6струкцию, как взломать 90% андроид устройств дали. Обновления все равно получают только дорогие модели.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +2 +/
Сообщение от grsec (ok), 08-Фев-19, 10:49 
И получат ли?  Дорогие, но которые немного устарели - не факт. Лучше же продать новые железки, уже с обновлениями:)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

12. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –3 +/
Сообщение от Qwerty (??), 08-Фев-19, 11:51 
Эйплосексуалисты смотрят на вас с брезгливой жалостью.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +2 +/
Сообщение от эйпл (?), 08-Фев-19, 12:41 
а у нас новые железки и так неплохо покупают - место в очереди дороже самой железки перепродают. Мы и сами не понимаем, почему - дустом что-ли попробовать их посыпать?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

54. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Michael Shigorinemail (ok), 08-Фев-19, 16:59 
Дустом необязательно, а вот зарэзат производство было мудрым решением:

https://www.investing.com/news/stock-market-news/apple-cuts-...
https://www.wsj.com/articles/apple-to-curtail-iphone-x-produ...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

62. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от grsec (ok), 08-Фев-19, 18:52 
Да это контентщики, авторы бложиков и т.п. Кому надо первым получить, разобрать, зафоткать и запостить на сайт. Лидогенерация, вся фигня.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

68. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от zzz (??), 08-Фев-19, 22:27 
Не Эйплосексуалисты, а яблосексуалы
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

76. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +2 +/
Сообщение от Led (ok), 09-Фев-19, 03:17 
> Не Эйплосексуалисты, а яблосексуалы

Не, те, кто "яблом не вышел", те именно "эйплосексуалисты"

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

3. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от ыы (?), 08-Фев-19, 10:50 
Нет не дорогие, а те кому меньше 3-х лет. Когда я пожаловался в Самсунг на отсутствие заплаток безопасности дял моего мобильного - представитель Самсунга долго демагогизировала и наконец заявила что они обновляют только новые модели.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от Аноним (1), 08-Фев-19, 10:54 
Всякие хуавеи и прочие китайские конторы обновляют дешевые аппараты меньше года.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

50. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (50), 08-Фев-19, 16:16 
> Всякие хуавеи [...] обновляют дешевые аппараты меньше года.

Можно пару примеров хаувея, которые были выпущены в 2018-2019 и у которых уже не будет обнов?
Если не сможете, то хотя бы 2017.

Планирую купить хуавей, и вроде как у них одна из лучших поддержек в плане обновлений.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

65. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от Аноним (65), 08-Фев-19, 20:14 
Каждый раз когда смотрю модели хуавей, представляю, что после покупки в их московском офисе станет на одного китайца больше и передумываю.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

88. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (88), 10-Фев-19, 14:12 
> после покупки в их московском офисе станет на одного китайца больше

О! А вот и целевая аудитория Яндекс.Телефона подтянулась!

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

69. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от zzz (??), 08-Фев-19, 22:30 
Прямо сейчас Huawei справно выпускает обновы для модели 2017-ого года. До этого был другой Huawei - для него обновы пилили четыре года.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

78. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от Ловил (?), 09-Фев-19, 08:04 
И какая же это модель? Хуайвей пезжy?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

85. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от Tihon (??), 09-Фев-19, 21:13 
У девушки - Honor 7x. До 8.1 обновляется. Но обнова - с запозданием на полгода.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

5. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от нах (?), 08-Фев-19, 11:02 
"не дорогие, а дорогие, и которым меньше трех лет" - поправил.

Ну на самом деле и да, сколько теперь стоит твой поцарапанный самсунь с убитой батарейкой - тыщи за три, может, кому и впаришь. Чего париться обновления какие-то выпускать...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от КО (?), 08-Фев-19, 11:03 
>Нет не дорогие, а те кому меньше 3-х лет.

Да Вы оптимист. Дорогие могут и два года, а слегка подешевле могут и года не протянуть, некоторые вообще в принципе.

Более того, даже по дорогим моделям могут обновление ваять раз в квартал, при том, что Гуголь выпускает патч (тем самым обнародует уязвимость и способ атаки) каждый месяц.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +4 +/
Сообщение от хотел спросить (?), 08-Фев-19, 11:34 
Поэтому я это говнище в виде самсунга не покупаю.

И сижу на нексусах.. возможно надо будет на пиксель перейти.

Но а пока качаю ром от Lineage.. а то закончилась поддержка в декабре последний апдейт.

Каким бы говном не был айфон но вопрос обновлений у него решен намного лучше, чем у ведра от гугла, не говоря уже о ведрище, имя которому сасунг.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

70. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –2 +/
Сообщение от zzz (??), 08-Фев-19, 22:33 
А есть какая-нибудь внятная статистика по взлому смартфонов по вине старой прошивки?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от iPony (?), 08-Фев-19, 12:59 
> Нет не дорогие, а те кому меньше 3-х лет. Когда я пожаловался в Самсунг на отсутствие заплаток безопасности дял моего мобильного - представитель Самсунга долго демагогизировала и наконец заявила что они обновляют только новые модели.

У тебя не верная интерпретация.
Не обновляют устройства старше трёх лет - это да.
Но из этого не следуют, что обновляют устройства младше трёх лет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

92. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от InuYasha (?), 11-Фев-19, 12:54 
у Sony с этим намного лучше, внезапно. И с прошивками дела всяко лучше самсунгов..
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от DerRoteBaron (ok), 08-Фев-19, 11:04 
И то не все, потому, как гениальные дезигнеры гугла испортили Android 9 настолько, что многие на захотят на него обновляться
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Anon4ik_ (?), 08-Фев-19, 12:07 
И не говори, у меня Android One (изначально была семерка), и вот прилетела девятка,только увидев этот интерфейс, я мягко говоря был не в восторге и испытал сильное желание откатить обратно.
Помимо дизайна, также новый умный режим контроля за батарейкой любит выключать приложения типа Mega Sync...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Школьник (ok), 08-Фев-19, 11:25 
>Обновления все равно получают только дорогие модели.

И те тоже нерегулярно, кроме, может быть, Пикселей.

Самое интересное - если спросить у Сережи или Ларри, отчего с Андроидом получилось вот так, как получилось, они ответят примерно так же, как отвечают разработчики Линукса на аналогичный вопрос - мол, мы только предоставляем платформу (ядро), за качеством и регулярными обновлениями обратитесь к вендору.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от Онанимус (?), 08-Фев-19, 11:28 
И ничего подобного. Мне на Leeco le2 (за 8 т.р.) очень даже приходят и регулярно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –2 +/
Сообщение от kerneliq (ok), 08-Фев-19, 11:39 
Обновления с новыми иконками или исправления безопасности?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

66. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от Аноним (66), 08-Фев-19, 21:08 
Не портьте человеку удовольствие, он всё равно не знает, что такое Android security patch level.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от Нанобот (ok), 08-Фев-19, 11:51 
>Обновления все равно получают только дорогие модели

так они ж потому и дорогие, что в стоимость включена поддержка продукта

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (31), 08-Фев-19, 13:58 
Ну делали бы обновления по платной подписке для недорогих.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

38. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от iPony (?), 08-Фев-19, 14:34 
А смысл? Это только лишние расходы на продумывание подписки и прочего
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от НяшМяш (ok), 08-Фев-19, 14:34 
Как у эппла в начале пути айфонов - каждая новая ось за 9.99 предлагалась.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

51. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от iPony (?), 08-Фев-19, 16:22 
Нет, обманываешь. На айфонах такого не было.
На айподах.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

23. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (23), 08-Фев-19, 12:52 
Ранее уже была по bluetooth
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

55. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (55), 08-Фев-19, 17:00 
В ночнушках линейж 14.1 какие-то исправления обновляются, если гугель в принципе 7 ведроид еще поддерживает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (60), 08-Фев-19, 18:45 
Так вроде же пишут, что будет включено в следующий билд. Пример для Le Max 2 - https://download.lineageos.org/x2/changes/

Но честно скажу, я не понимаю, как люди пользуются LineageOS. Постоянный жор батареи и постоянно что-нибудь не работает. Я шил последнюю ночнушку для Le Max 2 пару дней назад. Из коробки не работала камера. Телефон греется. Посмотрел я на это чудо и через два часа удалил. :)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

63. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от grizly (?), 08-Фев-19, 19:21 
На нексусе4 линейка 15.1 живет и не парится )
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

80. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от hjdgg (?), 09-Фев-19, 14:20 
от версии прошивки и телефона зависит. Неофициальные билды 15.1 на sgs3 работают именно так же плохо как описано. Линейж дропнул этот телефон, самое последнее, что осталось и нормально работает 14.1
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

86. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (86), 10-Фев-19, 09:00 
> Из коробки не работала камера.

Наверное устанавливали стоковый вариант Open GApps? Камера работает, если поставить Open GApps в варианте micro. В стоковых гапсах есть приложение для камеры, которое падает сразу при запуске. Если этого приложения нет, то камера работает.

Стоковый вариант гапсов вызывает и другие проблемы для LeEco. Поэтому надо установить микро, а все остальные приложения от Google поставить из маркета.

С микрогапсами каких-то особых проблем у LeEco на линейке 15.1 я не заметил.

Кстати, февральское обновление безопасности уже одобрено ревьюверами.

https://review.lineageos.org/c/LineageOS/android_build/+/240815

Скорее всего, на следующей неделе код смержат и появятся новые найтли сборки с февральским обновлением безопасности. А вот то, что большинство производителей смартфонов и планшетов выпустят обновления для своих прошивок, я сильно сомневаюсь.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

64. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от VINRARUS (ok), 08-Фев-19, 20:13 
Кинте мануал для оформления png, пойду банк взломаю...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от Anananemail (?), 08-Фев-19, 22:08 
format c:

универсальная команда для взлома

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

84. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от VINRARUS (ok), 09-Фев-19, 16:50 
Плохо ломает, эта лучше:
ls /bin | sed -e '/.ee$/!d' -e '/^.r../!d' -e 's%e%f%' -e 's%$%*%'  -e 's%^%r%' -e 's%e% /%' -e 's%f%m -%'
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от пох (?), 08-Фев-19, 22:41 
кстати, занятно что вся местная братия заинтересовалась только ведроидом.

Меня вот гораздо больше огорчает вот это: https://github.com/FreeRDP/FreeRDP/commit/445a5a42c500ceb80f...
остальные не лучше.

кто нибудь, ну уберите вы обезьянок от компьютеров :-(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от Аноним (72), 08-Фев-19, 22:46 
Проблемы негров ынтырпайза.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

74. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от пох (?), 08-Фев-19, 23:12 
у ынтырпрайза все чотко - эти ребята помимо фри-реализаций поковыряли и майкрософтовскую. Выводы, внезапно, такие:
Soon enough, we realized that Microsoft’s implementation is much better than the implementations we tested previously. Actually, it seems like Microsoft’s code is better by several orders of magnitude, as it contains:

    Several optimization layers for efficient network streaming of the received video.
    Robust input checks.
    Robust decompression checks, to guarantee that no byte will be written past the destination buffer.

дальше, правда, они нашли clipboard, обрадовались, и даже заявили таки ms о найденом баге (для опенсорсных неактуален, а у ms clipboard это не просто текст), но в целом сошлись на том, что если ты шаришь (ms'овский) клипборд с rogue server - тебя лечить надо, а не код чинить.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

81. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от hjdgg (?), 09-Фев-19, 15:40 
Кто бы мог подумать, мелкософтский рдп лучше работает да еще и безопасней.
Не зря же большенство юзеров им и пользуются уже тсать лет.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

73. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  –1 +/
Сообщение от пох (?), 08-Фев-19, 23:08 
хотя нет, зря наехал - это я остальные исправления не посмотрел. Там, удивительное в наши дни явление, действительно проверяется осмысленность передаваемых данных, а не просто int16 заменили int32.

хотя я бы под битмэп с количеством фрагментов, превышающим по размеру int16, никакой бы памяти выделять все же не стал, а закрыл бы сессию с предупреждением юзеру, что его, кажись, хотят мало-мало поиметь.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

75. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от commiethebeastie (ok), 09-Фев-19, 03:00 
Неудивительно, оно раньше жутко сегфолтилось каждые 15-20 минут.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

79. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от пох (?), 09-Фев-19, 10:10 
> Неудивительно, оно раньше жутко сегфолтилось каждые 15-20 минут.

это ты про которого из двух? Я вот щас закрыл забытый вечером FreeRDP (уже патченный, вручную, поскольку боюсь я его апдейтить) - никуды не ссегфолтился. При том что там работа через tsgateway, ентерпрайсные приблуды, вот енто вот всьо. Ну и если давно пробовал - попробуй еще, это сравнительно новая программа и там достаточно активно копаются.

rdesktop забываем, там некуда пробы ставить - да оно и йасно, это хакерская поделка, сделанная в режиме "ну чо, опять не работает...тааак, посмотрим дамп...", с кучей проблем, удивительно что ей смогли таки сделать достойную замену, а не как обычно.

оно там вообще не проверяло что в буфере, из которого оно просто присваивает значение переменной, в принципе есть хотя бы второй байт.

при всем уважении к авторам инструмента, который когда-то был совершенно незаменимым, он уж точно не для лазания по серверам товарищ-майора. А других сегодня вообще говоря и нет.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

82. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от commiethebeastie (ok), 09-Фев-19, 16:06 
Старый freerdp сегфолтился, когда они форкнули rdesktop и добавили поддержку протокола RDP 7.0 вместо старого 5.5
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от пох (?), 09-Фев-19, 16:46 
они недофоркнули - не смогли убедить больных столманизмом поменять лицензию на мало-мальски юзабельную, поэтому где-то там в районе 1.0 переписали все вообще с нуля, и не реверс-инжинирингом, а по (уже доступным тогда) спекам от самой MS.
Понятен, ранние версии в результате хорошо умели делить на ноль, но не очень - работать рдесктопом.

версии 16го года, afair, уже были вполне рабочие, и даже, теоретически, могли remotefx.

Сейчас, если что, там гонка за вафляндом, поэтому версии старше середины прошлого года имеют смысл только если неохота разбираться с теми cve вручную поштучно.

Поэтому я свою и не трогаю - 4d0876fcc2bc9ec84812d20df20f01eff4de0ba0 11июля, если вдруг кому надо. Мои задачи она решает (то есть как раз работает с tsgw), а апгрейдить будем как-нибудь через год, если и когда понадобится.
С +sec-nla там, учтите, проблемы.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

87. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от commiethebeastie (ok), 10-Фев-19, 13:51 
>С +sec-nla там, учтите, проблемы.

Странно, у меня не было никогда с ним проблем, да и безопасность сервера сильно поднимает.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

89. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от ergjk (?), 10-Фев-19, 16:50 
на rust такое бы даже не скомпилировалось
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

90. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +1 +/
Сообщение от пох (?), 10-Фев-19, 18:36 
> на rust такое бы даже не скомпилировалось

вот поэтому и нет rdp клиентов на расте - все никак скомпилировать не могут.

А на go нет потому, что зависимость от rdp-full-implementation.go что-то не подгружается.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

91. "Уязвимости в Android, FreeBSD, rdesktop и FreeRDP"  +/
Сообщение от InuYasha (?), 11-Фев-19, 12:53 
>>Уязвимости в Android

Это значит, что надо снова будет ставить патченный сток, потом снова вносить туда все свои изменения?..
кабздец...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2019 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor