Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..., opennews (?), 10-Май-19, (0) [смотреть все] Красиво, Анонимус Суминонус (?), 22:12 , 10-Май-19, (1) +2 Мы написали костыль, чтобы починить дырявый костыль Но новый костыль тоже оказа, Аноним (2), 22:38 , 10-Май-19, (2) +6 // Ответ очевиден - нужен ещё один костыль, Аноним (37), 23:18 , 12-Май-19, (37) Эх, это ж типовой косяк двадцатилетней давности , Michael Shigorin (ok), 23:07 , 10-Май-19, (3) // Михаил, это не та ли CMS, переходить на которую ты постоянно советовал, в коммен, Sluggard (ok), 00:19 , 11-Май-19, (4) +4 // Та самая Заметьте, советы обычно были с присказкой вроде вскакивать приходитс, Michael Shigorin (ok), 00:51 , 12-Май-19, (35) +3 Из документации PHP Да и имя функции намекает А тут ВНЕЗАПНО читаемЧто-то тут не, Аноним (5), 06:43 , 11-Май-19, (5) –1 // Не так тут PHP , Аноним (6), 08:17 , 11-Май-19, (6) +1 вам в пехепе 4 Ну или максимум - 5 2 который пожалуй и был последним true php , пох (?), 08:45 , 11-Май-19, (8) +2 // Ерунду не говорите, создание своего стримвроппера в 4 3 2 появилось , Евгений (??), 08:52 , 11-Май-19, (9) // только вот что-то я не слышал о подобных уязвимостях не то что в 4, а и в ранних, пох (?), 10:38 , 11-Май-19, (15) –1 У меня для вас очень плохие новости уязвимости в glob существовали безотносит, Онаним (?), 11:06 , 11-Май-19, (21) а вот тут список непотребных символов вполне себе конечен маловероятно появлени, пох (?), 11:25 , 11-Май-19, (24) +1 Вот с чем соглашусь - так это с тем, что вся механика phar - редкостное удолбище, Онаним (?), 13:21 , 11-Май-19, (32) +1 // пожалуй что и да - я тут бегло полистал остальные стримы - нигде такой жопищи не, пох (?), 22:24 , 11-Май-19, (34) +1 Вы прочитали неправильно file_exists не определяет mime-тип , Евгений (??), 08:53 , 11-Май-19, (10) +1 // то есть написано неправильно, Евгений (??), 08:55 , 11-Май-19, (11) +1 // file_exists выполняет вначале код контейнера phar , Заря (?), 09:36 , 11-Май-19, (12) +1 Лучше бы вы не писали, и не показывали свою собственную безграмотность Никакого , Онаним (?), 10:34 , 11-Май-19, (14) +1 но забыли опубликовать Официальные Таблицы Валидных Символов Допустимых для file, пох (?), 10:44 , 11-Май-19, (16) +1 Нет у меня формального критерия отличать ваш файл Я его просто априори переимен, Онаним (?), 10:50 , 11-Май-19, (18) –1 я вам уже демонстрировал, что для моей файловой системы этот файл совершенно вал, пох (?), 11:39 , 11-Май-19, (26) Можешь называть свою кошку как угодно, поскольку ты даже не увидишь, что на серв, Онаним (?), 13:14 , 11-Май-19, (31) –1 Я просто из старых ассемблерщиков, и у меня строка - это не просто набор символо, Онаним (?), 13:39 , 11-Май-19, (33) +1 Ну и да, если уж зашли на валидацию - даже самая простейшая и не менее криворук, Онаним (?), 10:54 , 11-Май-19, (19) А ты знаешь список всех функций где доступен этот API , Аноним (29), 12:58 , 11-Май-19, (29) Считаем с запасом , что везде, где идут обращения к файлам, сокетам, etc Но де, Онаним (?), 13:07 , 11-Май-19, (30) –1 Ну и дополню ДА Мы не можем 100 валидировать имена пользовательских файлов , Онаним (?), 10:59 , 11-Май-19, (20) +1 https github com nbs-system snuffleupagus- Close to zero performance impact- P, Аноним (7), 08:41 , 11-Май-19, (7)   // очередное щас мы всем покажем как правильно кодить и пофиг что половина списка , пох (?), 10:49 , 11-Май-19, (17) +1   Хосспаде, долбодятлы Внезапно отсутствие валидации передаваемых имён и передача , Онаним (?), 09:48 , 11-Май-19, (13) –2 Скрыто модератором, Онаним (?), 11:09 , 11-Май-19, (22) –2 // Скрыто модератором, Онаним (?), 11:11 , 11-Май-19, (23) –1 // Скрыто модератором, пох (?), 11:31 , 11-Май-19, (25) –1 // Скрыто модератором, Онаним (?), 12:22 , 11-Май-19, (27) Скрыто модератором, Онаним (?), 12:29 , 11-Май-19, (28) Придумают же костылей pharы какие-то хорошо что я ПХП уже лет 10 не трогал, InuYasha (?), 13:06 , 12-Май-19, (36) // Держи в курсе, что ты там еще не трогал, Наноним (?), 23:24 , 14-Май-19, (38) 1,2,3,5,7,13,36

Сообщения

[Сортировка по времени | RSS]

7. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..."	+/–
Сообщение от Аноним (7), 11-Май-19, 08:41
https://github.com/nbs-system/snuffleupagus - Close to zero performance impact - Powerful yet simple to write virtual-patching rules - Killing several classes of vulnerabilities   * Unserialize-based code execution   * mail-based code execution   * Cookie-stealing XSS   * File-upload based code execution   * Weak PRNG   * XXE - Several hardening features   * Automatic secure and samesite flag for cookies   * Bundled set of rules to detect post-compromissions behaviours   * Global strict mode and type-juggling prevention   * Whitelisting of stream wrappers   * Preventing writeable files execution   * Whitelist/blacklist for eval   * Enforcing TLS certificate validation when using curl   * Request dumping capability - A relatively sane codebase:   * A comprehensive testsuite   * Every commit is tested on several distributions   * An clang-format-enfored code style   * A comprehensive documentation   * Usage of coverity
Ответить | Правка | Наверх | Cообщить модератору

	17. "Уязвимость в библиотеке PharStreamWrapper, затрагивающая Dru..."	+1 +/–
	Сообщение от пох (?), 11-Май-19, 10:49
	очередное "щас мы всем покажем как правильно кодить" и пофиг что половина списка ненужного ненужно ломает работающее к чертям, а где не ломает - там была не нужна. особенно вот это прекрасно: Enforcing TLS certificate validation when using curl дайте угадаю - еще и неотключаемая глупость.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема