Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем, opennews (??), 24-Авг-23, (0) [смотреть все] Добро пожаловать, вот вам backdoor, soarin (ok), 09:59 , 24-Авг-23, (2) –2 Веский довод за удаление бессмысленных приложений Которых немало хоть в Linux, , Аноним (3), 10:07 , 24-Авг-23, (3) +7 Да где ж это виданно, на Питоне ошибки обрабатывать Это чуть ли не ересь Шутка, _kp (ok), 10:17 , 24-Авг-23, (4)   // Это не питон Скрипт на питоне вызывается вот отсюда, без проверки того что вход, Аноним (5), 10:22 , 24-Авг-23, (5) +2   Питон использует исключения, поэтому не обработать ошибку в данном случае - при, Аноним (30), 14:45 , 24-Авг-23, (30) +1   // Как показали эксперименты, самая типовая реакция питоноскриптов на ошибку - заби, Аноним (44), 06:57 , 25-Авг-23, (44)   // Нет сети - нет апдейтов, вроде все логично libastral в питон еще не завезли Но, Аноним (5), 09:59 , 25-Авг-23, (46) –1   При том сеть может как таковая быть Что самое то издевательское Но нормально с, Аноним (-), 19:45 , 25-Авг-23, (47)   Прикольный патч if result 0 TODO something went wrong, display e, Анонин (?), 11:15 , 24-Авг-23, (9) +2 // Скрыто модератором, Аноним (-), 03:55 , 26-Авг-23, (51) Опять сишники OH SH--, 1 (??), 11:25 , 24-Авг-23, (10) –2 // конечно не сишники, файл то panellayouter cppно кто будет разбираться в двух сор, Аноно (?), 14:12 , 24-Авг-23, (28) // вот вам аргумент, почему во всём виноваты растофилы не программисты и прочие м, FF (?), 15:11 , 24-Авг-23, (31) // А ниче, что нас 40 лет назад еще не было 40 лет назад запилили б 822 ы 822 д, Анонимусс (?), 17:10 , 24-Авг-23, (35) –3 Да вас и Раст наверно перерос Было бы очень смешно, если бы про прод жээсник нап, FF (?), 21:35 , 24-Авг-23, (40) это не сищники это ПЛЮСЫ ды ещё в добавок и Qt и патч -- говно человек явно н, Аноним (33), 16:39 , 24-Авг-23, (33) // Судя по патчу он питон, си и информационную безопасность знает примерно одинак, Аноним (44), 07:00 , 25-Авг-23, (45) +1 Всё логично, вход для одного является выходом для другого - , Getfor (?), 11:48 , 24-Авг-23, (11) ужасный код, никакой культуры разработки , Аноним (12), 11:57 , 24-Авг-23, (12) +1 // Не то что твой однострочный хеллоуворлд на всех языках мира , Аноним (24), 12:28 , 24-Авг-23, (24) +3 // Не надо быть гением, чтобы поддерживать культуру разработки Врубаешь автоформат, Аноним (12), 12:45 , 24-Авг-23, (26) Почему нет Обеспечь кроссплатформерность Определи язык системы и подставь нужн, Аноним (3), 12:58 , 24-Авг-23, (27) Скрыто модератором, Бульдох (?), 12:00 , 24-Авг-23, (13) // Скрыто модератором, Аноним (21), 12:23 , 24-Авг-23, (21) Скрыто модератором, Аноним (24), 12:24 , 24-Авг-23, (22) +1 Скрыто модератором, Аноним (24), 12:26 , 24-Авг-23, (23) Если сторонний человек может делать что угодно в вашем tmp, то как бы уже поздн, Аноним (30), 14:12 , 24-Авг-23, (29) // Кстати да Ну наверное можно создавать там попачки и файлы под конкретным юзером , Аноньимъ (ok), 16:22 , 24-Авг-23, (32) нет tmp блюдёт правила, которые позволяют работатьс этим катологом так что это , Аноним (33), 16:43 , 24-Авг-23, (34) // Права чернокожих Если tmpfs без noexec, то считай все Верно заметил анон про б, Аноним (12), 17:46 , 24-Авг-23, (36) Лет так 40 пили боржоми и вдруг стало поздно На tmp, между прочим, стоит sticky, Аноним (37), 18:29 , 24-Авг-23, (37) +1 // Боже, насколько же это древнее дерьмо , Аноним (39), 19:00 , 24-Авг-23, (39) –1 // Что, окаменело, через соломинку не проходит, привыкли посвежее , Аноним (41), 02:08 , 25-Авг-23, (41) Чувак, ты машину водить умеешь Электричеством пользуешься На поезде ездишь Са, Аноним (-), 19:55 , 25-Авг-23, (48) Ага, а императрица Мария Феодоровна вообще электромобилем владела не шутка и не, ZloySergant (ok), 21:50 , 25-Авг-23, (50) После установки openSUSE Leap 15 4 15 5 я вот эту лишнюю х ню удаляю sudo zyp, Аноним (38), 18:54 , 24-Авг-23, (38) // Да вообще-то всю ненужную пакость имеет смысл удалять или не ставить изначально , Аноним (-), 19:57 , 25-Авг-23, (49) 2,3,4,9,10,11,12,29,38

Сообщения

[Сортировка по времени | RSS]

4. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	+/–
Сообщение от _kp (ok), 24-Авг-23, 10:17
>>но не учитывались коды ошибок, Да где ж это виданно, на Питоне ошибки обрабатывать. Это чуть ли не ересь. Шутка, но основания для неё же есть.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	+2 +/–
	Сообщение от Аноним (5), 24-Авг-23, 10:22
	> В коде PanelLayouter::applyLayout() Это не питон. Скрипт на питоне вызывается вот отсюда, без проверки того что входные данные для него нормально записались. А питон доверчивый, да, что ему подсунули в /tmp/layout то и отработал.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	+1 +/–
	Сообщение от Аноним (30), 24-Авг-23, 14:45
	> Да где ж это виданно, на Питоне ошибки обрабатывать. Это чуть ли не ересь. Питон использует исключения, поэтому не обработать ошибку (в данном случае - при проверке наличия каталога) в принципе невозможно. Но конкретно этот код написан на C++ и использует функции Qt, а они возвращают коды ошибок. Результат налицо.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	44. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	+/–
	Сообщение от Аноним (44), 25-Авг-23, 06:57
	> Питон использует исключения, поэтому не обработать ошибку (в данном случае - > при проверке наличия каталога) в принципе невозможно. Как показали эксперименты, самая типовая реакция питоноскриптов на ошибку - забить по максимуму. А потом - возможны варианты. В убунте, например, питонапдейтер на любые проблемы сети - врет про то что апдейтов для системы - нет. Хотя они, конечно, есть, а падлюка даже прочекать не смог их наличие - но соврать уже сумел. И вот так у питонистов везде :E
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	–1 +/–
	Сообщение от Аноним (5), 25-Авг-23, 09:59
	Нет сети - нет апдейтов, вроде все логично. libastral в питон еще не завезли. Но вообще странно, да. Надо чтобы сегфолтилось в отсутствии сети. Сразу будет понятно - врет, подлюка, раз сегфолтится - значит апдейты есть, надо только сеть поднять.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в приложении openSUSE-welcome, позволяющая выполн..."	+/–
	Сообщение от Аноним (-), 25-Авг-23, 19:45
	> Нет сети - нет апдейтов, вроде все логично. libastral в питон еще не завезли. При том сеть может как таковая быть. Что самое то издевательское. Но нормально сообщить о проблеме это поделие не умеет, и если его не гонять под strace'ом ажно - некоторые чайники пару лет уверены что для вот именно их диалекта убунты апдейта нет. Хотя на самом деле питоноужастик просто лажает в каком-то месте проверки апдейта - и выдает дефолтное "апдейтов нет", проглотив все мыслимые ошибки сети, сервера, днс, прокси или чего там возникающих по более 9000 разным причинам. > Но вообще странно, да. Надо чтобы сегфолтилось в отсутствии сети. > Сразу будет понятно - врет, подлюка, раз сегфолтится - значит апдейты есть, > надо только сеть поднять. Не, ну что вы. Падает с жутким трейсом на 3 страницы оно как раз если сеть на свое горе все-таки нашло! После этлшл оно ведь первым делом как умная клава качает - тадам - последнюю версию апдейтера. Ну как же, апдейтиться старым апдейтером если новый есть - не айс! Только 1 маленькая проблемка: в половина случаев потом опять наступает - "апдейтов нет". На этот раз уже по другому поводу - если посмотреть внутрь, чекер оказывается наворачивается с жестким стектрейсом страницы на три. Если удастся декодировать, суть на самом деле окажется "блин, у вас версия питона не та". Кто из питоняш додумался качать новый апдейтер первым делом чтобы обнаружить что в старой системе самого-самого питона и правда нет - кто ж знает. Но это именно тот случай когда они "споткнулись и упали свим лицом на мой кулак, и так 5 раз подряд". Каждый второй релиз убунты такая хрень творилась. Поэтому апдейтов нет, пока руками не переключишь репы, вместо такой автоматики...
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема