Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от opennews (??), 12-Июл-23, 16:58
Несколько недавно выявленных опасных уязвимостей:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59430
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Аноним (1), 12-Июл-23, 16:58
Ghostscript который раз штопают, а он всё продолжает рваться. Может, там какую-нибудь ба-а-а-альшую заплатку прифигарить, чтобы уж пофиксить как-то это безобразие?
Ответить | Правка | Наверх | Cообщить модератору

	3. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	–3 +/–
	Сообщение от Аноним (3), 12-Июл-23, 17:35
	Это корпоративный бэкдор, типа avahi или networkmanager.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (12), 12-Июл-23, 20:21
	networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (3), 13-Июл-23, 09:29
	Нет, внедряют в дистрибутивы, чтобы вендорлок. Ну и пользователи любят обмазываться бэкдорами.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (-), 14-Июл-23, 23:07
	Он из большинства дистров без проблем сносится. И является лишь 1 из опций, даже не везде дефолтной. Просто оно умеет большую часть того что на десктопе или ноуте обычно юзерам надо, ну вот его и ставят. У меня на дебиане и даже убунтах его много где нет. Вообще ни на что не влияет, кроме того что теперь вы не получите вон ту гуйную приблуду в трее или что там за (экто)плазма у вас была для настройки вафель и проч - и таки пойдете сетапить сие мануально.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+1 +/–
	Сообщение от Аноним (33), 14-Июл-23, 23:04
	> networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками? Чтобы среднего пошиба юзерь мог настроить конект к вафле какой, особенно энтерпрайзной, не слетев с катушек при этом. Не то чтобы это иначе нельзя - но это уже для хардкорных фриков.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	36. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Анониссимус (?), 21-Июл-23, 00:56
	Да, я как-то раз поднимал вафлю через wpa_supplicant. Нажрался кактусов вдоволь, больше не хочется. Но и network manager -- то ещё гoвнище. К сожалению, нормальных инструментов для wifi не завезли.
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+1 +/–
	Сообщение от User (??), 12-Июл-23, 20:02
	"Знал бы - сразу молнию пришил!"(С)
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	22. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	–1 +/–
	Сообщение от Аноним (22), 12-Июл-23, 23:49
	боььшой заплаткой будет создание ghostscript API- и ABI-совместимой обёртки над pdfbox, который написано на безопасном по памяти языке Javz. И выкинуть этот ghostscript в мусор. всё равно кроме PDF важных кейсов нет, а выполниять postscript - это уже само remote code execution, даже ломать ничего не надо, штатной функциональности хватает.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	31. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Да ну нахер (?), 14-Июл-23, 12:30
	>на безопасном по памяти языке Javz Безопасным является только язык Карбон.
	Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+6 +/–
Сообщение от Юморист без диплома (?), 12-Июл-23, 17:14
Мало кто знает, что EVALSHA это феминитив.
Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+6 +/–
	Сообщение от Аноним (12), 12-Июл-23, 20:17
	Мало кто знает, что такое феминитив. ))
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от some (??), 14-Июл-23, 21:52
	Боюсь спросить, какие у неё трудовые обязанности =)))
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	–1 +/–
Сообщение от Quad Romb (ok), 12-Июл-23, 18:12
Тут как-то проскакивала новость про Redis-совместимую БД Dragonfly. В комментариях даже сам автор этой БД отметился. Интересно, вот с этой самой совместимостью - там уязвимость не унаследовали случайно?
Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Golangdev (?), 12-Июл-23, 19:59
	так у неё лицензия несвободная, SSPL мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так и Ынтырпрайзов будет использоватья Redis
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Golangdev (?), 12-Июл-23, 20:24
	минусующий хочет со мной поспорить и готов проголосовать своим кошельком %)
	Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Quad Romb (ok), 12-Июл-23, 20:53
	> так у неё лицензия несвободная, SSPL Не обратил на это внимание. Там с 15 марта 2028 года уже что-то другое - какое-то ответвление от Apache License 2.0, под названием BSL 1.1. > мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так > и Ынтырпрайзов будет использоватья Redis Однако, начало текста даже этой лицензии подтверждает сказанное Вами, а именно - "The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work." Ну, если продукт отчаянно хорош и имеет толковую поддержку, то кто-то будет за него платить. Но, большинство, согласен с Вами, будет такую БД избегать.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	17. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от пох. (?), 12-Июл-23, 21:17
	напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	20. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Quad Romb (ok), 12-Июл-23, 21:30
	> напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5? BSD 3-Clause "New" or "Revised" License A permissive license similar to the BSD 2-Clause License, but with a 3rd clause that prohibits others from using the name of the copyright holder or its contributors to promote derived products without written consent. Другими словами, коммерческое использование допускается, но не допускается использование марки "Redis" в чужих ответвлениях от этого продукта.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+1 +/–
	Сообщение от Аноним (25), 13-Июл-23, 01:02
	>Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library. Они не осилили добавить поддержку FreeBSD. По сему, фтопку.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Аноним (12), 12-Июл-23, 20:13
> "в библиотеках cjson" Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+1 +/–
Сообщение от Аноним (11), 12-Июл-23, 20:19
Может, просто не стоило в key-value db "выполнять сценарии на языке lua"? А... хотя да, о чем я...
Ответить | Правка | Наверх | Cообщить модератору

	14. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (12), 12-Июл-23, 20:26
	Lua как управляемый код виртуальной машины .NET — Common Language Runtime ?
	Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноньимъ (ok), 12-Июл-23, 21:01
	Вы ещё скажите что файлам нужен унифицированый формат метаданных для определения типа содержимого. Или скажем что файловая система что-то такое может хранить.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	19. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+2 +/–
	Сообщение от Tron is Whistling (?), 12-Июл-23, 21:25
	Это тогда обезьянкам придётся учиться делать структуры данных так, чтобы не создавать избыточной передачи таковых с DBMS на бэк.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	28. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Анонимусс (?), 13-Июл-23, 11:40
	А пока что обезьянки запутались в типах и не смогли почитать размер буфера. Опять... - size_t newsize = (buf->len+len)*2; + size_t newsize = buf->len+len; + if (newsize < buf->len || newsize >= SIZE_MAX/2) abort(); + newsize *= 2; https://github.com/redis/redis/pull/12398/files
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Tron is Whistling (?), 13-Июл-23, 14:30
	Ну, за обезьянок-то буферы выделяет низкоуровневая подложка, V8 какой-нибудь, поэтому запутаться они не могут. Вот только стоит она столько, что тот же редис на этой подложке не написать так, чтобы он сносно работал и не требовал на порядок больше железа. А тут да, всё рядом с железом, считать приходится.
	Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Tron is Whistling (?), 12-Июл-23, 21:24
Особенно понравилось CVE-2023-36475. Хламокодинг - это сурово.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Аноним (21), 12-Июл-23, 21:39
кто-нибудь еще в это верит?)
Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от ИмяХ (?), 14-Июл-23, 08:33
	Да уже никто в компьютеры не верит. Это всё на самом деле магия.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (35), 14-Июл-23, 23:11
	Как говорится, не учите физику в школе и ваша жизнь будет наполнена чудесами.
	Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Аноним (22), 12-Июл-23, 23:50
>при разборе сервером специально оформленных сообщений STUN Лишь бы Kaitai Struct не использовать.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
Сообщение от Аноним (22), 12-Июл-23, 23:53
>Workarounds >Disable remote code execution through the MongoDB BSON parser. В уязвимости виноват не Parse Server, а MongoDB.
Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"	+/–
	Сообщение от Аноним (26), 13-Июл-23, 08:39
	> В уязвимости виноват не Parse Server, а MongoDB. MongoDB BSON parser - это надстройка над MongoDB из состава Parse Server, к самому MongoDB он отношения не имеет.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема