Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога, opennews (??), 05-Авг-22, (0) [смотреть все] Не уязвимость, а канал доступа Красиво, вряд ли только сейчас нашли Это пример, Аноним (1), 17:52 , 05-Авг-22, (1) +5 // А писали бы на единственной безопасном и быстром языке Carbon, то уязвимость они, Аноним (3), 17:58 , 05-Авг-22, (3) +2 // Что-то подсказывает что лажаться с обработкой путей кодеры будут одинаково, хоть, Аноним (-), 18:36 , 05-Авг-22, (9) +8 // Чтобы не лажаться с обработкой путей, нужна capability-based security model Но , Аноним (16), 18:55 , 05-Авг-22, (16) –5 которую изобрели в unix системах, Аноним (41), 23:09 , 05-Авг-22, (41) +5 В линухе оно даже есть Как и контейнеры позволяющие довольно эффективно отрезат, Аноним (-), 00:22 , 06-Авг-22, (46) Правильно, пока ты будешь имплементировать свою продуманную архитектуру, санитиз, YetAnotherOnanym (ok), 09:49 , 06-Авг-22, (57) +1 Ну да, ну да, поэтому хомякам придется жить с д рьмовыми железками где фирварь п, Аноним (64), 21:24 , 06-Авг-22, (64) Чтобы не лажаться с чем бы то ни было, надо думать головой А владельцу бизнеса , YetAnotherOnanym (ok), 09:43 , 06-Авг-22, (56) Странно, а я думал, что быстрый и безопасный это раст Учу программирование стро, Аноним (90), 17:06 , 10-Авг-22, (90) А вот ужасный сустемдэ своим сервисом изолировал бы юзерспейс , Аноним (36), 21:53 , 05-Авг-22, (36) –1 // Он 2 метра RAM жрет, а в том крапе всей оперативы 16 32 мега и ее впритык , Аноним (-), 00:23 , 06-Авг-22, (47) Ты бы еще в докере предложил запустить , Аноним (58), 10:00 , 06-Авг-22, (58) +1 Скрыто модератором, anonym13 (?), 17:57 , 05-Авг-22, (2) +3 // Скрыто модератором, Аноним (3), 17:59 , 05-Авг-22, (4) Скрыто модератором, Аноним (6), 18:14 , 05-Авг-22, (6) +1 Скрыто модератором, Аноним (7), 18:23 , 05-Авг-22, (7) // Скрыто модератором, Аноним (15), 18:48 , 05-Авг-22, (15) // Скрыто модератором, Аноним (19), 18:56 , 05-Авг-22, (19) +2 Скрыто модератором, Аноним (22), 19:02 , 05-Авг-22, (22) Скрыто модератором, Аноним (19), 19:10 , 05-Авг-22, (24) +1 Скрыто модератором, Аноним (27), 19:33 , 05-Авг-22, (27) Скрыто модератором, Аноним (31), 20:04 , 05-Авг-22, (31) +1 Скрыто модератором, Аноним (27), 21:55 , 05-Авг-22, (37) +1 Скрыто модератором, Аноним (-), 18:41 , 05-Авг-22, (12) –1 Взоржал , Аноним (8), 18:30 , 05-Авг-22, (8) +14 Ужас какой Вы прикрывайте дырки, а то имеет все кто хочит , Аноним (-), 19:02 , 05-Авг-22, (21) Ну и дырыще , Аноним (-), 19:12 , 05-Авг-22, (25) Вот тебе и дебиан , Аноним (-), 19:43 , 05-Авг-22, (30) –1 // Нет такого пакета в этой репе Сектор Б на барабане Поздравляем, Вы - банкрот , Аноним (48), 00:27 , 06-Авг-22, (48) –1 Даже и не знал что такой сервер вообще есть , BrainFucker (ok), 20:16 , 05-Авг-22, (32) Эффективный опенсорс , Аноним (33), 20:27 , 05-Авг-22, (33) Но это, конечно же, были ненастоящие программисты на C Настоящие такой лажи ник, Аноним (34), 20:51 , 05-Авг-22, (34) +2 Падаждите, а куда смотрели тысячи глаз На три другие стены , Аноним (35), 21:10 , 05-Авг-22, (35) +2 // вытекли , Sw00p aka Jerom (?), 22:02 , 05-Авг-22, (38) +3 Они как раз и нашли эти уязвимости , Аноним (41), 23:12 , 05-Авг-22, (42) // Ахаха, ты серьезно Проблема присутствует начиная с самой первой версии muhttpd , Анонн (?), 00:13 , 06-Авг-22, (45) +1 Учитывая, что я вообще впервые слышу про такой веб-сервер, глаз там было по числ, Аноним (50), 01:10 , 06-Авг-22, (50) // Ну ты может и в первый раз слышишь, а его используют серьезные ынтерпрайз контор, Аноним (35), 19:51 , 06-Авг-22, (63) На расте такой дыры не было бы , karl93rus (ok), 22:20 , 05-Авг-22, (39) // Слышал песню от группы Ленинград под названием Дорожная , Аноним (40), 22:35 , 05-Авг-22, (40) –2 Растишка втуда где это используется без утрамбовки не залезет , Онаним (?), 23:18 , 05-Авг-22, (44) В расте такая болезненная работа с путями, что там даже никогда не заметили бы п, Cucumber (?), 05:17 , 06-Авг-22, (52) –1 // Скрыто модератором, Аноним (-), 06:28 , 06-Авг-22, (53)   // Скрыто модератором, Аноним (-), 11:47 , 06-Авг-22, (60) +1   Скрыто модератором, Аноним (-), 21:45 , 06-Авг-22, (65)   Интересно а в всем этом не будет новых бонусных вулнов как это уже было в их std, Аноним (-), 21:46 , 06-Авг-22, (66) muahahahttpdНу конечно разработчики эмбедовки тоже кони ещё те С цирком http, Онаним (?), 23:17 , 05-Авг-22, (43) // Да это обычно обдолбаные узкоглазики которые койкак слабали вообще и скорее прод, Аноним (48), 00:29 , 06-Авг-22, (49) +1 Недырявый домашний роутер - это что-то вообще из области фантастики Хотите за 3, Аноним (51), 04:41 , 06-Авг-22, (51) // Никакой фантастики Дайте железо и дрова, а линукс и прочий софт я сам накачу А, anonymous (??), 06:24 , 13-Авг-22, (93) О существовании некоторых вебсерверов и некоторого другого софта узнаешь из со, Sylvia (ok), 08:06 , 06-Авг-22, (54) +1 muhttpd щито , abu (?), 09:23 , 06-Авг-22, (55) То что модератор удалил все комментарии про то что уязвимость очевидно вставлена, Аноним (58), 10:01 , 06-Авг-22, (59) 20 лет назад иис дежавю , Аноним (61), 18:20 , 06-Авг-22, (61) дайте угадаю, следующая найденная там уязвимость будет GET , Аноним (62), 19:19 , 06-Авг-22, (62) +1 // Настоящий хакер крякер тем более работает с сетью только через браузер , Аноним (69), 21:15 , 07-Авг-22, (69) Ты что, хакир, что ли , Пароним (?), 02:40 , 08-Авг-22, (70) extern char environ int clearenv void We would like to free previously s, burjui (ok), 04:49 , 07-Авг-22, (67) +1 // А что тебе не нравится , Аноним (-), 09:28 , 08-Авг-22, (71) // Серьёзно Местных сишников послушать - так они лучшие в мире и никогда не делают, burjui (ok), 11:21 , 08-Авг-22, (72) // Это всё, что ты перечислил, стилевые придирки Которые совершенно нерелевантны д, Аноним (-), 13:39 , 08-Авг-22, (73) Какое отношение всё это имеет к обсуждаемой функции Какое обобщение Я вообщ, burjui (ok), 14:55 , 08-Авг-22, (74) Да, я знаю, именно поэтому мне пришлось об этом говорить Если рассмотреть функц, Аноним (-), 20:04 , 08-Авг-22, (76) Нет, мне не стало понятнее, с чего вдруг ты вообще заговорил про обобщение и выд, burjui (ok), 23:27 , 08-Авг-22, (77) Я не знаю чем тут можно помочь Могу ещё попробовать так есть разные причины вы, Аноним (-), 13:30 , 09-Авг-22, (81) Намного короче и понятнее, чем предыдущие портянки текста Более того, можно был, burjui (ok), 13:45 , 09-Авг-22, (82) А, у тебя проблемы с длинными предложениями Надо простые писать Не осложнённые, Аноним (-), 15:32 , 09-Авг-22, (86) Вообще нет NULL - это не ноль NULL - это именно специальное значение NULL, кот, Аноним (78), 10:50 , 09-Авг-22, (78) –2 Понятно, здесь не умеют гуглить Так и быть, сделаю это за вас https www open-, burjui (ok), 13:10 , 09-Авг-22, (79) Теперь погугли, что делает calloc кастует нулевые байты в нулевые указатели , Аноним (69), 13:50 , 09-Авг-22, (83) Это уже все рамки разумного переходит Во-первых, кастовать не обязательно An i, burjui (ok), 14:03 , 09-Авг-22, (84) Является ли блок из нулевых байтов An integer constant expression with the valu, Аноним (69), 14:16 , 09-Авг-22, (85) Знаешь, а ты прав Я тут почитал доп инфу и понял, что могут быть архитектуры, , burjui (ok), 14:03 , 10-Авг-22, (87) Вот ты лучше расскажи своей логикой растомана Почему, записывая массив байтов и, Аноним (69), 15:02 , 10-Авг-22, (89) Вообще-то, это обычная логика По-твоему, логично, что сущность с названием null, burjui (ok), 20:46 , 10-Авг-22, (91) Ты прочитал, что делает calloc Правильно Выделяет массив байт и обнуляет этот м, Аноним (69), 21:14 , 11-Авг-22, (92) Итак, после обсуждения ниже выяснилось, что в C, когда имеешь дело с указателями, burjui (ok), 14:12 , 10-Авг-22, (88) Он как ыксперт по безопасным каракулям руст не разобрался в опасных каракулях си, Аноним (69), 16:13 , 08-Авг-22, (75) –1 // Очередной бессмысленный комментарий от очередного недалёкого анона Бессмысленны, burjui (ok), 13:15 , 09-Авг-22, (80) Ожидал всего что угодно, но такого Они просто читают файл по относительному пут, Аноним (68), 18:03 , 07-Авг-22, (68) 1,8,21,25,30,32,33,34,35,39,43,51,54,55,59,61,62,67,68

Сообщения

[Сортировка по времени | RSS]

	53. Скрыто модератором	+/–
	Сообщение от Аноним (-), 06-Авг-22, 06:28
	> В расте такая болезненная работа с путями, что там даже никогда не > заметили бы проблемы за мишурой из бесконечных кастов OSString в String, > Path в PathBuf, ResultReadDir в ReadDir в IteratorResultDirEntry в IteratorDirEntry в > DisplayDirEntryPathExt и обратно. В смысле, кодер за...тся кодить быстрее чем вообще сервак родит? Тоже вариант! Но если все же упрямый кодер попадется - то он тоже так сможет. А судя по конверсиям, там еще может быть и с десяток CVE уникальных для хруста, чего доброго. Поди палочкой еще никто не тыкал это счастье :)
	Ответить | Правка | Наверх | Cообщить модератору

	60. Скрыто модератором	+1 +/–
	Сообщение от Аноним (-), 06-Авг-22, 11:47
	> Поди палочкой еще никто не тыкал это счастье Rust палочкой не тыкали? Это C и C++ палочкой не тыкали, с rust'ом же всё резко серьёзнее: https://ferrous-systems.com/blog/the-ferrocene-language-spec.../
	Ответить | Правка | Наверх | Cообщить модератору

	65. Скрыто модератором	+/–
	Сообщение от Аноним (-), 06-Авг-22, 21:45
	> rust'ом же всё резко серьёзнее: https://ferrous-systems.com/blog/the-ferrocene-language-spec.../ Что це таке? Какие-то проприентарщики с очередным "qualified rust toolchain" который будет запроприетарен еще хуже misra C? Ну и насколько все это будет соответствовать обычным тулчейнам? И по описанию - какой-то жесточайший WIP, при том не понятно как согласованый с вон теми кодерасами дефолтной реализации. Сишники в этом плане кстати облажались. В gcc предлагали MSIRAовский чекер добавить но редгадчики брыкались. Мол только для эмбедовки, блабла. Ну, если им CVE больше нравятся, тогда только для эмбедовки, конечно :). Так что на самом деле опенсорсный тулчейн такого плана был бы EPIC WIN. Особенно если в популярных реализациях сразу встроен и широко используем в софте.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема