The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от opennews (??), 27-Июл-23, 14:09 
В системе виртуализации VirtualBox выявлена уязвимость (CVE-2023-22018), позволяющая удалённому пользователю, подключающемуся к виртуальной машин через сеанс на базе протокола RDP, выполнить код на уровне хост-системы. Отмечается, что в определённых конфигурациях уязвимость может быть эксплуатирована неаутентифицированным пользователем, имеющим сетевой доступ к сервису RDP...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59504

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +22 +/
Сообщение от Аноним (1), 27-Июл-23, 14:09 
> за границей выделенного буфера

Шел сишник по буферу. Видит — буфер уже закончился. Вышел за его пределы и CVE-шнулся.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –12 +/
Сообщение от Аноним (3), 27-Июл-23, 15:07 
И что у тебя последние трусы из-за этой уязвимости украли? Это кого надо уязвимость проходи мимо.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (7), 27-Июл-23, 15:27 
> Это кого надо уязвимость

Собственно, единственная причина, по которой сишка будет существовать неограниченно долго.

Потому что эти "кто надо" страдают^Wнаслаждаются вуайеризмом.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от FF (?), 27-Июл-23, 16:34 
> Дырофоб всё умеет, всё знает, всё переделает, перепишет, прокомментит, захейтит - у себя в принципиально новых мозговых милисекундных импульсах

Единственная причина, по которой сишка будет существовать неограниченно долго.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (16), 27-Июл-23, 17:00 
Вообще-то куча людей и находит, и переписывает, и языки даже новые придумывает. Но это всё возня, конечно, комментики о величии сишки писать сложнее, чем реально что-то делать.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (23), 27-Июл-23, 17:49 
Ну конечно фанатики безопастных язычков уже слились всё что им осталось хейтить Си.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Анонин (?), 27-Июл-23, 18:06 
Настолько слились, что безопасный язык добавляют в ядро на замену дыряшке))
Вообще, его создали как раз потому, что поняли что дыряшке уже ничем помочь нельзя.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (33), 27-Июл-23, 21:32 
Там никогда не будет шедулера, написанного на расте, никогда не будет бктстрапа на расте и тд. Его туда добавили для всякой некртической фигни, типа драйверов.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Аноним (34), 27-Июл-23, 23:21 
Никогда не говори никогда))

Помню как слышал, что раст никогда
- не доживет до 1.0 версии
- на нем не напишут ни одну аппу
- его даже не подпустят к ядру
- его не примут в ядро...
> вы находитесь здесь

Что будет дальше - посмотрим))

> некртической фигни

которая тебе роняет всё ядро

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (16), 28-Июл-23, 00:20 
>Там никогда не будет шедулера, написанного на расте, никогда не будет бктстрапа на расте и тд

Ссылку на коммиты в ядро, диванщик. А то больно гонора много говорить, где чего не будет. Без сопливых.
>Его туда добавили для всякой некртической фигни, типа драйверов.

Вот это да, Линус с Грегом в курсе? Ты сообщи.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

44. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Аноним (44), 28-Июл-23, 09:33 
> Ссылку на коммиты в ядро, диванщик.

ссылку на комиты которых нет и не будет никогда? Оригинально.

> Вот это да, Линус с Грегом в курсе?

в курсе, в курсе, и "программист-на-псевдоязыке", и его гавкалка прекрасно в курсе кто им оплачивает праздник жизни.

Но несуществующие комиты так и не станут от этого существующими - они ни на каких языках не программируют, они руководители.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от 34 (?), 31-Июл-23, 03:04 
конечно добавили,ведь фанаты "безопасный язык" не в состоянии написать свое, им как инвалидам руку помощи тянут, а они ее кусают и кидаются какшками
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

53. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от iZENemail (ok), 01-Авг-23, 04:54 
А зачем такой уродливый язык программирования (Rust) продвигают в ядро операционной системы? Почему же Java не подошла, ведь в своё время её засунули в ядро Solaris как-то в виде экспериментального фреймворка для поддержки драйверов.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

27. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (27), 27-Июл-23, 18:44 
А причём тут фанатики каких-то языков? Люди спокойно работают, делают индустрию лучше, но икспëрды так не умеют, вот и бьются в бессильной злобе.
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

13. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –2 +/
Сообщение от FF (?), 27-Июл-23, 16:39 
Захотел сишкофоб пойти по буферу, сначала не пускали, а когда пустили, он в панике сбросился с высокого буфера.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

15. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Аноним (15), 27-Июл-23, 16:58 
Уныло, пробуйте ещё.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (7), 27-Июл-23, 17:14 
Если заменить сишкофоба на сишника - получится суровая реальность.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (16), 28-Июл-23, 00:21 
Бог юмора смотрит на FF с восхищением.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

4. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (3), 27-Июл-23, 15:09 
Похакли кого надо можно закрывать.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (8), 27-Июл-23, 15:57 
это позор
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от birdie (ok), 27-Июл-23, 16:10 
А почему только про одну написали? Их целых четыре :-)

https://www.oracle.com/security-alerts/cpujul2023verbose.htm...

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от eugener (ok), 27-Июл-23, 16:16 
Через те три можно только крэшнуть, а через эту "выполнить код на уровне хост-системы".
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от FF (?), 27-Июл-23, 16:36 
да, крэшнуть это же как panic. БезопасТно.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Анонимусс (?), 27-Июл-23, 17:25 
О, подтянулись ссупер-спецы!
Но все-таки крэш и panic разные вещи. Попробуй перехватить крэш))
И да, и то, и другое безопаснее взлома.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (19), 27-Июл-23, 17:32 
Так да, крэш -- это штатная обрабатываемая ситуация, а паника это уже всё, у разраба лапки и дальше не поедем. Но и от того и второго 1 шаг до ACE, в чём тут безопасность не очевидно.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Анонимусс (?), 27-Июл-23, 17:35 
Что значит всё? panic::catch_unwind и вперед обрабатывай ее.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (19), 27-Июл-23, 17:50 
Это значит, остановка -- все выходим.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +1 +/
Сообщение от Анонимусс (?), 27-Июл-23, 17:43 
> в чём тут безопасность не очевидно

в том что после первого же креша админ должен забить тревогу и начать разбираться и пинать кого нужно
ну, может после второго, если он совсем ленивая задница

при этом данные никуда не утекут, диски не зашифруют и тд
самое главное - падение сложно не заметить
а вот ломанные серваки могут течь месяцами и даже годами

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

22. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +3 +/
Сообщение от Аноним (19), 27-Июл-23, 17:48 
Админ видит только последствия уже случившегося, что на деле произошло ему не ведомо. Может, уже утекло, всё, что искали.
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 27-Июл-23, 19:35 
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +2 +/
Сообщение от Аноним (23), 27-Июл-23, 17:50 
Ахаха это безосновательная вера просто умиляет.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

14. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +2 +/
Сообщение от YetAnotherOnanym (ok), 27-Июл-23, 16:52 
- Включите RDP, мне только посмотреть.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (34), 27-Июл-23, 18:50 
C in CVE stands for C language
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от penetrator (?), 27-Июл-23, 21:15 
> Уязвимость без лишней огласки устранена в выпусках VirtualBox 6.1.46 и 7.0.10.

оба апдейта кладут Windows 7 в BSOD при установке )))

6.1.44 например становится нормально на той же системе

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (31), 27-Июл-23, 21:17 
Простой сценарий.
У меня студенты делают лабы в VirtualBox. Включили галочку "Удаленное управление" и проэксплуатировали с этого же хоста, получив доступ уровня системы. Офигеть. Мы тут бегаем, права всем отрываем, разные applocker, SRP, антивирусы в самом злобном режиме, прости господи...
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +9 +/
Сообщение от пох. (?), 28-Июл-23, 00:16 
Если у тебя студенты могут проэксплуатировать только что опубликованную уязвимость без деталей описания и готового эксплойта - просто от...сь от них со своими недолабами и поставь им зачет автоматом.

Они знают и умеют явно больше тебя.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от yet another anonymous (?), 28-Июл-23, 01:03 
Браво, аплодирую стоя. (пад сталом. аффтар, писчи исчо.)
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Sw00p aka Jerom (?), 28-Июл-23, 08:34 
фильм Хацкеры не смотрел что ли? :)
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от soarin (ok), 28-Июл-23, 05:00 
А ты заплатил за Extension Pack для RDP?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

50. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от пох. (?), 29-Июл-23, 21:46 
пытки студней виртуалбоксом вроде вполне подходят под некоммерческое применение?

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от soarin (ok), 30-Июл-23, 08:58 
> пытки студней виртуалбоксом вроде вполне подходят под некоммерческое применение?

Так-то преподаватель деньги получает и всё такое.
Хотя да. Скорее всего можно в итоге:

> a free license for personal, educational

Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  –1 +/
Сообщение от ivan_erohin (?), 27-Июл-23, 21:18 
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (39), 28-Июл-23, 02:40 
Читая новости о CVE-шках в разных сишных программах, складывается впечатление, что среди серьезных и критических ошибок (когда там получают возможность выполнения кода, выходят из песочницы, повышают привилегии) ошибки работы с памятью составляют не 70%, как приводил статистику гугл по всем ошибкам, а все 99%.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от твой менеджер (?), 28-Июл-23, 09:24 
Там седьмая касса пустая, и очередь собралась! Марш работать! Читает он тут!

P.S. интерфейс экстеншнов vbox (полу) открытый, не требует разбираться в коде самого vbox, конкретный этот ext еще и платный для коммерческого применения и не портируется, так что ты сможешь лично показать всем как надо и на каких языках, если еще раз тебя в рабочее время поймаю читающим!

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (39), 28-Июл-23, 15:47 
>  "твой менеджер"

мимо, баба Ванга. У меня сейчас нет "моих менеджеров". Я на вольных хлебах с ноября прошлого года, ибо за 25 лет зае.ался от тухлых ТЗ и неконкретных, нелогичных и противоречивых хотелок клиентов и менеджеров.

> Там седьмая касса пустая, и очередь собралась!

На время коммента посмотри. Какая очередь может быть аж к седьмой кассе аж в третьем часу ночи? Не проспался, у тебя там еще Черная Пятница?

> так что ты сможешь лично показать всем как надо

А, неадекваты из лагеря "сперва добейся". Чтобы сказать что на пирожном вместо крема д.рьмо не обязательно в доказательство высир.ть дерьмо.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  –1 +/
Сообщение от Аноним (48), 28-Июл-23, 19:24 
>>  "твой менеджер"
> мимо, баба Ванга. У меня сейчас нет "моих менеджеров". Я на вольных
> хлебах с ноября прошлого года, ибо за 25 лет зае.ался от

тебя ДАЖЕ из вкус.0чка уже вып-3дили?

Вот это достижение, доп-3делся так доп-3делся.

>> Там седьмая касса пустая, и очередь собралась!
> На время коммента посмотри. Какая очередь может быть аж к седьмой кассе

вкус этого самого - он круглосуточный. Если все будут вместо работы строчить комменты как правильно работать - так и ночью соберешь толпу, но ни разу не поклонников.

> А, неадекваты из лагеря "сперва добейся". Чтобы сказать что на пирожном вместо
> крема д.рьмо не обязательно в доказательство высир.ть дерьмо.

но чтобы давать советы в выборе крема - таки надо уметь готовить, а не только быстро пихать пирожок с машинным маслом в пакетик.

А у местных успешных вольнохлёбов с этим большие трудности. Совершенно точно знают, даже в три часа ночи, на чем надо писать правильные программы, только вот кодить почему-то не умеют.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в VirtualBox, эксплуатируемая через протокол RDP"  +/
Сообщение от Аноним (39), 28-Июл-23, 15:59 
>  если еще раз тебя в рабочее время поймаю читающим!

ну и вдогонку, повторюсь - время коммента глянь. В рабочее время? Ты там в своём 1С уже в три смены работаешь, пописать некогда сходить? Как в том анекдоте, "по ночам с фонарем на лбу" пашешь?

Все мимо, каждая фраза. Вот от того, что у нас такие менеджеры, всё так плохо.

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру