Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в networkd-dispatcher, позволяющие получить права root, opennews (ok), 27-Апр-22, (0) [смотреть все] Уязвимости в NM никого ничему не научили Необучаемые Хорошо, что у нас есть пр, Аноним (2), 13:46 , 27-Апр-22, (2) –15 // А чему они должны были научить Что в софте бывают уязвимости , Аноним (13), 13:57 , 27-Апр-22, (13) +9 // Тому, что в таком софте будут подобные уязвимости вполне вероятно, десятилетиям, Аноним (2), 14:01 , 27-Апр-22, (15) –2 // Чем плох dbus Начните ответ с того, за что отвечает dbus и какие есть альтернат, kai3341 (ok), 16:50 , 27-Апр-22, (43) +4 dbus плох довольно тормозной реализацией из-за этого в частности kdbus продвига, Аноним (91), 05:54 , 28-Апр-22, (91) +1 Чем тебе не угодил dbus , Кекстор (?), 17:32 , 27-Апр-22, (44) +3 Тем, что его сделали обязательным в таких вещах как xorg и wayland, 2 года назад, Аноним (2), 17:37 , 27-Апр-22, (45) Он не обязателен для работы иксов, Аноним (46), 18:41 , 27-Апр-22, (46) –1 Уже обязателен стараниями РХ Раньше был патч, но в последний раз там всё перекр, Аноним (2), 18:55 , 27-Апр-22, (47) –2 И чем бы было лучше, если бы вместо dbus это был какой-нибудь сокет со своим про, ilyafedin (ok), 20:30 , 27-Апр-22, (59) +3 networkd-dispatcher, если что, написан на Python, Аноним (67), 22:38 , 27-Апр-22, (67) временами , ilyafedin (ok), 22:39 , 27-Апр-22, (68) Безвременно - спасибо кривым рукам и дырявым головам , Аноним (67), 22:43 , 27-Апр-22, (71) Не очень понимаю, что ты хотел донести, ilyafedin (ok), 22:44 , 27-Апр-22, (72) Достаточно простую мысль если не включать голову, дырявый код получится на любо, Аноним (67), 22:46 , 27-Апр-22, (74) Но на некоторых более вероятно, чем на других, ilyafedin (ok), 22:48 , 27-Апр-22, (75) –1 По-моему, это больше зависит от соотношения IQ автора и порога вхождения в язык , Аноним (67), 22:59 , 27-Апр-22, (81) Тонны уязвимостей на сишке доказывают, что не важно каков IQ автора, люди ошибаю, ilyafedin (ok), 23:01 , 27-Апр-22, (82) То есть убрать людей , ыы (?), 08:39 , 28-Апр-22, (95) А ты знаешь другой путь , nvidiaamd (?), 21:14 , 28-Апр-22, (121) –1 И демонстрирует характерное качество кода и продуманность безопасности, давая до, Аноним (-), 06:18 , 29-Апр-22, (126) Зачем долбиться в ДИБАС, когда можно пользоваться hurd ipc , Аноним (-), 15:31 , 28-Апр-22, (104) И эти профессионалы из самойц большой софтверной конторы используют это негодное, Аноним (14), 13:59 , 27-Апр-22, (14) +2 // Вопрос экономической целесообразности , Аноним (2), 14:03 , 27-Апр-22, (16) –1 // Вот и здесь тоже самое В открытых проектах часто экономят на опеннет-аналитиках, Аноним (14), 14:07 , 27-Апр-22, (18) +6 Экономят на просто аналитиках за счет опен аналитиков , ыы (?), 14:10 , 27-Апр-22, (20) И это работает Данную уязвимость нашли за долларовый счёт M , Аноним (14), 14:15 , 27-Апр-22, (22) Сумму не назовете , ананим.orig (?), 16:13 , 27-Апр-22, (39) Они его не используют Они на нем зарабатывают Разницу чувствуешь , ыы (?), 14:08 , 27-Апр-22, (19) –1 // Нет, не чувствую разницу Они его используют для заработка , Аноним (14), 14:13 , 27-Апр-22, (21) Вот есть например у тебя лопата За копание лопатой платят деньги Если ты копае, ыы (?), 15:39 , 27-Апр-22, (29) Если пример с лопатами слишком сложный- представь вместо лопаты - шлюху Выясни, ыы (?), 15:43 , 27-Апр-22, (30) Индивидуалки еще бывают , Аноним (-), 16:02 , 27-Апр-22, (37) Не знаю, как сейчас, но ещё несколько лет назад, примерно во времена get the fac, yurikoles (ok), 21:35 , 27-Апр-22, (61) –1 Ну и где сейчас эти лулзы , ыы (?), 08:19 , 28-Апр-22, (93) да мы с б-жественной десяточки никуда и так не слазим Поскольку в юникс-системах, пох. (?), 19:46 , 27-Апр-22, (56) Твои умудреные из МС небось сами написали уязвимость Благо в Виндах их полно,, Alex (??), 03:02 , 28-Апр-22, (90) Никогда такого не было и вот опять , Аноним (3), 13:48 , 27-Апр-22, (3) +1 // Потеринги опять постарались , Аноним (50), 19:10 , 27-Апр-22, (50) –5 // А каким местом тут Поттеринг Нет, я понимаю, что он - основной виновник инфляции, Аноним (67), 22:53 , 27-Апр-22, (79) Не дыра, а техническое отверстие , Аноним (6), 13:50 , 27-Апр-22, (6) +3 // Отверстие это результат отворота лишнего материала инструментом Т е тщательно , Ананоним (?), 14:46 , 27-Апр-22, (26) Это портал для Сержанта Бритые Шары, который ему сделал Капитан Б Дик Через не, Аноним (-), 19:30 , 27-Апр-22, (51) –1 // Ничего не понял, но на всякий случай встал и спел Звёздное знамя , Аноним (67), 22:44 , 27-Апр-22, (73) // Отсылка на Gayniggers from Outer Space , anonymous (??), 18:11 , 28-Апр-22, (114) дальше не стал читать , Аноним (7), 13:50 , 27-Апр-22, (7) +1 // Они уже посоветовали довести systemd до своего идеала svchost exe - идеал syste, Аноним (3), 13:52 , 27-Апр-22, (10) –5 // Майкрософтовский идеал инита - сисвинит, походу Судя по тому, что виндузятники и, Аноним (67), 22:56 , 27-Апр-22, (80) +1 // Какие плохие виндузятники, тыкают тебе в лицо философией UNIX и смеются Не дают, Аноним (-), 15:34 , 28-Апр-22, (105) Так ведь svchost exe самый что ни на есть юниксвейный Простая программа, решающ, Аноним (67), 16:03 , 28-Апр-22, (112) Какое хорошее передёргивание, двигайтесь к своему идеальному юниксвею svchost e, Аноним (-), 19:46 , 28-Апр-22, (118) И на шелле заставляют писать и rc-файлы использовать, а то бы ты разом ууух , Аноним (-), 15:35 , 28-Апр-22, (106) На Могучем Шелле PowerShell, то есть , Аноним (67), 15:57 , 28-Апр-22, (109) Существующие инитскрипты на твоей любимой померщели в студию В том, что ты пише, Аноним (-), 19:44 , 28-Апр-22, (116) Нет уж, я за вас работать не буду, пишите их сами Для СВОЕЙ любимой поверщели , Аноним (67), 11:44 , 29-Апр-22, (129) держи в курсе, Аноним (86), 00:12 , 28-Апр-22, (86) networkd-dispatcher разве используется в Arch Linux https wiki archlinux org t, Аноним (11), 13:54 , 27-Апр-22, (11) // Если вы не устанавливали его из AUR, то очевидно не используется Да и systemd-n, Аноним (14), 14:06 , 27-Апр-22, (17) // И у тебя конечно же есть результаты статики по результатам опроса у репрезентати, yurikoles (ok), 14:39 , 27-Апр-22, (25) // Это совершенно не так Конкретно systemd-networkd, если не вру, в репах отключен , Аноним (14), 15:01 , 27-Апр-22, (27) Ты как истинный анонимный специалист по ArchLinux судишь о нём по Archiso, котор, yurikoles (ok), 21:26 , 27-Апр-22, (60) Почти Но для сети у них исключение, по умолчанию используется отточенный векам, Аноним (67), 22:31 , 27-Апр-22, (64) В systemd есть множество методов неявной активации сервисов, сокетная активация,, Аноним (100), 10:32 , 28-Апр-22, (100) можно глянуть статистику по установленным пакетаместественно systemd-networkd от, Аноним (34), 15:55 , 27-Апр-22, (34) отсюда https pkgstats archlinux de api packages linux можно оценить количест, Аноним (34), 16:16 , 27-Апр-22, (40) По-моему, вообще нет смысла париться из-за Информации о публикации обновлений д, Аноним (67), 23:04 , 27-Апр-22, (83) А вот если systemd использовал system registry, такого не было бы , Аноним (3), 13:54 , 27-Апр-22, (12) –6 // Можно было бы просто переписать всё на Rust, ИмяХ (?), 15:48 , 27-Апр-22, (32) –1 А при чём здесь systemd, если не секрет , Аноним (67), 22:48 , 27-Апр-22, (76) +2 // При том, что скоро мы увидим systemd-cat Или catd , Аноним (-), 15:37 , 28-Апр-22, (107) –2 // У вас на виндах - вряд ли У нас на линуксах - уже давно https freedesktop org , Аноним (67), 16:01 , 28-Апр-22, (111) На FLOS На любой unix-подобной оси, недоинит с линукса так и не смог в кроссплат, Аноним (-), 19:43 , 28-Апр-22, (115) А зачем вам на винде линуксовый недоинит Вы же типа за unix way топите Один , Аноним (67), 11:46 , 29-Апр-22, (130) О, там и такие есть Думал, про дупла в их поделиях они из новостей узнают , ryoken (ok), 14:18 , 27-Апр-22, (23) // Скрыто модератором, ыы (?), 15:50 , 27-Апр-22, (33) // Скрыто модератором, Аноним (41), 16:24 , 27-Апр-22, (41) // Скрыто модератором, А (??), 19:05 , 27-Апр-22, (48) Скрыто модератором, Аноним (67), 22:49 , 27-Апр-22, (77) Черт опять нашли нашу закладку с Товарищ майор, Аноним (24), 14:35 , 27-Апр-22, (24) // При спонсировании лучшим другом майора, корпорацией MS Что-то в этой истории не, Аноним (-), 16:03 , 27-Апр-22, (38) Софт от редгада или при его участии всегда отличался низким качеством, Аноним (28), 15:24 , 27-Апр-22, (28) –5 // Это фичи хорошо спрятанные Вон чуваков из университета зачморили а этим хот, ыы (?), 15:46 , 27-Апр-22, (31) // Чуваки из университета сами признались, буратины , Аноним (67), 22:51 , 27-Апр-22, (78) Какой такой редгада Это делал чувак по имени Clayton Craft, разработчик Postma, Аноним (67), 16:48 , 27-Апр-22, (42) Ух ты, DHCP-эксплойт баша, теперь банановый, через DBUS Правда, кажется, не рем, Аноним (-), 16:01 , 27-Апр-22, (36) +1 // Ремотный к следующей версии запилят Через какой-нибудь нескучный rest api в coc, пох. (?), 19:34 , 27-Апр-22, (54) // Олдскульщики из ISC прекрасно справились и без rest в свое время , Аноним (67), 22:26 , 27-Апр-22, (62) Ыыы, зато быстро запускается , Аноним (50), 19:09 , 27-Апр-22, (49) –5 // Так проблема то не в нём, а в убогом механизме символических ссылок, Аноним (53), 19:31 , 27-Апр-22, (53) –4 // Они даже не пытались , Аноним (50), 22:30 , 27-Апр-22, (63) +1 // Теперь пытаютсяhttps gitlab com craftyguy networkd-dispatcher - commit 41e1d0f, Аноним (67), 16:06 , 28-Апр-22, (113) Таки да, DHCP там очень быстр, по сравнению с dhclient И дыра не в нём если про, Аноним (67), 22:41 , 27-Апр-22, (69) –1 // Логично, кэп, если б системда состояла только из дыр, это было бы фиаско Где-, Аноним (50), 23:18 , 27-Апр-22, (84) –1 // но дыры в системде везде вокруг, где нету пока дыр , Аноним (50), 23:19 , 27-Апр-22, (85) –1 А покажите, пожалуйста, где именно Вот сабжевая дыра, например - она как-то к с, Аноним (67), 14:15 , 28-Апр-22, (102) Да Как-то относится , Аноним (50), 22:05 , 28-Апр-22, (124) И как, если не секрет , Аноним (67), 11:41 , 29-Апр-22, (127) А это нормально что обычный юзер может заменить файл, принадлежащий root , Аноним (53), 19:30 , 27-Апр-22, (52)   // Это CVE-2022-0847, да , Аноним (2), 19:51 , 27-Апр-22, (57)   Можно, если у юзера есть права на каталог , Аноним (50), 22:31 , 27-Апр-22, (65)   Скрыто модератором, Аноним (-), 20:02 , 27-Апр-22, (58) –6 // Скрыто модератором, Аноним (50), 22:33 , 27-Апр-22, (66) –2 // Скрыто модератором, Аноним (86), 00:15 , 28-Апр-22, (87) –1 Скрыто модератором, Аноним (67), 22:42 , 27-Апр-22, (70) // Скрыто модератором, ыы (?), 08:27 , 28-Апр-22, (94) +1 Artix неуязвим , Аноним (-), 00:40 , 28-Апр-22, (88) Ну вот А ведь я говорил , Аноним (89), 01:21 , 28-Апр-22, (89) А кто-то вообще проводил независимый аудит кода подсистем systemd Судя уязвимо, AntonAlekseevich (ok), 08:09 , 28-Апр-22, (92) –1 // Нужно собрать деньжат на этодело и провести , ыы (?), 09:14 , 28-Апр-22, (96) +1 // Деньги-то они собрать могут, но есть нюанс , Аноним (50), 09:48 , 28-Апр-22, (98) Независимый от деньгодателей в том числе А значить без IBM, Google, Yandex, VK, AntonAlekseevich (ok), 21:13 , 28-Апр-22, (120) 171 networkd-dispatcher 187 не является частью systemd Это какое-то изобрет, Аноним (97), 09:22 , 28-Апр-22, (97) // Systemd-networkd - часть Systemd , Аноним (50), 10:28 , 28-Апр-22, (99) –2 // Да Но так как автор новости был пьян или не выспался, он написал фигню systemd-, Аноним (67), 14:21 , 28-Апр-22, (103) // Он бы ещё на жабе написал , Аноним (-), 15:39 , 28-Апр-22, (108) А что, java тоже unix way Тормозит, память жрёт, всё как надо Не какое-нибудь у, Аноним (67), 15:59 , 28-Апр-22, (110) С WONTFIX Откуда такие берутся Сначала не понимают юниксвей, а потом лепят ярлы, Аноним (-), 19:48 , 28-Апр-22, (119) –1 WONTFIX is suckless , Аноним (67), 11:42 , 29-Апр-22, (128) отличная архитектура, что сказать, Аноним (101), 11:29 , 28-Апр-22, (101) // Потеринг и его последователи стараются , Аноним (50), 22:02 , 28-Апр-22, (122) // выкинуть скриптописателей с такой замечательной архитектурой куда подальше , Аноним (67), 11:48 , 29-Апр-22, (131) Всегда грохал эту куету, у меня целый список чего надо грохнуть сразу же после у, Аноним (117), 19:44 , 28-Апр-22, (117) +1 // Я его один раз посмотрел - и грохнул Теперь только сам собираю нужный линух без, Аноним (50), 22:03 , 28-Апр-22, (123) 2,3,6,7,11,12,23,24,28,36,49,52,88,89,92,97,101,117

Сообщения

[Сортировка по времени | RSS]

52. "Уязвимости в networkd-dispatcher, позволяющие получить права..."	+/–
Сообщение от Аноним (53), 27-Апр-22, 19:30
>>между проверкой параметров скрипта (принадлежность root) и его запуском имелся небольшой промежуток времени, достаточный чтобы заменить файл А это нормально что обычный юзер может заменить файл, принадлежащий root?
Ответить | Правка | Наверх | Cообщить модератору

	57. "Уязвимости в networkd-dispatcher, позволяющие получить права..."	+/–
	Сообщение от Аноним (2), 27-Апр-22, 19:51
	> А это нормально что обычный юзер может заменить файл, принадлежащий root? Это CVE-2022-0847, да.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Уязвимости в networkd-dispatcher, позволяющие получить права..."	+/–
	Сообщение от Аноним (50), 27-Апр-22, 22:31
	Можно, если у юзера есть права на каталог.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема