Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от opennews (?), 27-Ноя-23, 14:29 | ||
Несколько недавно обнаруженных уязвимостей:... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –4 +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:29 | ||
> переменных окружения, которые могут содержать пароль администратора, лицензионный ключ и учётные данные для подключения к почтовому серверу | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –5 +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:32 | ||
Вообще таскать чувствительную информацию в env могли придумать только смузихлёбы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. Скрыто модератором | +11 +/– | |
Сообщение от Аноним (4), 27-Ноя-23, 14:38 | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. Скрыто модератором | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42 | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. Скрыто модератором | +4 +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42 | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
107. Скрыто модератором | –1 +/– | |
Сообщение от нах. (?), 27-Ноя-23, 18:04 | ||
Ответить | Правка | Наверх | Cообщить модератору |
113. Скрыто модератором | +1 +/– | |
Сообщение от Аноним (113), 27-Ноя-23, 18:26 | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
116. Скрыто модератором | –2 +/– | |
Сообщение от твой анестезиолог (?), 27-Ноя-23, 18:58 | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 15:10 | ||
Ну а по фактам-то есть что сказать? Или только как дедушка выругаться «пук-среньк, смузихлёбы»? | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
13. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –1 +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 15:12 | ||
А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 15:19 | ||
Если лежат, то да, а если только передавать, то просто ещё один способ передать значение извне в программу. Прочитал, сделал unsetenv и ходи довольный. | ||
Ответить | Правка | Наверх | Cообщить модератору |
16. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 15:27 | ||
Хм, наверно, если даже и лежат, то тоже ничего страшного. Вот раскрывать переменные окружения куда-то налево это косяк. Всё равно что файл с секретами катнуть в ответ на какой-нибудь запрос. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +2 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok), 27-Ноя-23, 16:41 | ||
Ну да ... если бутерброд упал на пол и его успели поднять менее, чем за 5 сек, то считается чистым и можно жрать. Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. ENV много где прикапывается, а unsetenv логическая операция, она не удаляет данные из памяти и другие копии ENV-ов. В общем случае корректно передавать секреты через пайпы, а не вот так. | ||
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору |
38. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 17:15 | ||
>она не удаляет данные из памяти | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 17:18 | ||
>Если не отпочковывать новые процессы до setenv | ||
Ответить | Правка | Наверх | Cообщить модератору |
135. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 22:47 | ||
> Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
143. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 23:14 | ||
> В общем случае корректно передавать секреты через пайпы, а не вот так. | ||
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору |
72. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Аноним (72), 27-Ноя-23, 17:31 | ||
А где ж они должны лежать, дорогой ты мой? | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
104. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +3 +/– | |
Сообщение от Аноним (104), 27-Ноя-23, 18:02 | ||
В коде, как принято) | ||
Ответить | Правка | Наверх | Cообщить модератору |
108. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от нах. (?), 27-Ноя-23, 18:05 | ||
в гитхабе и гитляпе, для надежности. | ||
Ответить | Правка | Наверх | Cообщить модератору |
110. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 18:08 | ||
Только обязательно рядом комментарий оставить, что ты понимаешь, что так делать нельзя и вообще дико извиняешься, хех. | ||
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору |
141. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 23:06 | ||
int getRandomNumber() | ||
Ответить | Правка | Наверх | Cообщить модератору |
119. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 19:36 | ||
Биндмаунты делать давно разучились? | ||
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору |
120. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Аноним (72), 27-Ноя-23, 19:51 | ||
Ох уж эти «ветераны» «системного» «администрирования». А в etcd ты как попадёшь? На доверии, с нужного айпишника, надеюсь? Или у тебя там один самоподписанный сертификат на все контейнеры со временем жизни в 10 лет? Ясно-понятно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
138. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:04 | ||
Вы главное продолжайте хранить пароли в окружении, не стирая таковое до форка. | ||
Ответить | Правка | Наверх | Cообщить модератору |
140. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:06 | ||
Что мешает тебе создать инстанс etcd, доступный только с конкретного контейнера? | ||
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору |
142. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +2 +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 23:09 | ||
Недостаточная степень юникс-ветеранства (этот не вполне изящный термин был введен в повествование, чтобы не использовать неполиткорректное слово, начинающееся на "долбое" и заканчивающийся на "изма"). | ||
Ответить | Правка | Наверх | Cообщить модератору |
144. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:23 | ||
Поди ещё и вся аппликуха в коньтеноре от рута работает? | ||
Ответить | Правка | Наверх | Cообщить модератору |
145. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:25 | ||
Но я уже на эту тему выше отписал. | ||
Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору |
147. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:37 | ||
И вообще, способов передать волатильные параметры - 1000+1, но смузихлёбы как всегда выбрали самый удолбищный, который ещё и между процессами наследуется. | ||
Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору |
160. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Аноним (160), 28-Ноя-23, 13:45 | ||
Как говорится, есть два стула. На одном придуманная сорок лет назад юникс-дедами система переменных окружения. На другом отдельный инстанс distributed reliable key-value store written in Go доступный только с конкретного контейнера, поднятый для того чтобы приложение почитало из него конфиг и пароли. На какой стул сам сядешь, а на какой смузихлёба посадишь? | ||
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору |
148. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:38 | ||
Поверь, если у тебя пароли и ключи лежат в ENV - даже один самоподписанный сертификат будет лучше. | ||
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору |
130. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от Рычаг (?), 27-Ноя-23, 21:19 | ||
И этот человек ещё что-то про смузихлёбов говорил, хех | ||
Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору |
139. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:05 | ||
> И этот человек ещё что-то про смузихлёбов говорил, хех | ||
Ответить | Правка | Наверх | Cообщить модератору |
146. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:26 | ||
Интересно, что этим господам мешало запустить внутри коньтенора сервис с очищенным от внешних параметров env? | ||
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору |
158. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 28-Ноя-23, 12:57 | ||
То, что ему эти параметры НУЖНЫ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
167. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06 | ||
А переложить параметры в файлы конфигурации до запуска религия не позволяет? | ||
Ответить | Правка | Наверх | Cообщить модератору |
168. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06 | ||
// s/волатильные/сенситивные/ | ||
Ответить | Правка | Наверх | Cообщить модератору |
134. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 22:46 | ||
> А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки. | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
150. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:49 | ||
И вот тут начинается замечательная проблема. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Liin (ok), 27-Ноя-23, 15:57 | ||
Да вобщем ничего страшного в использовании паролей в env нет, только если эту инфу не раскрывают наружу всем, кому ни попадя, как ребята с GetPhpInfo.php, который явно для дебага использовался и по какой-то причине был включен в прод. Хотя, конечно, лишнего в env тоже быть не должно. И если от пароля mysql там толку снаружи не будет, то от пароля админа - может пострадать админка. Разумно надо к этому подходить, взвешивать риски. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
114. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (113), 27-Ноя-23, 18:28 | ||
Если у злоумышленника есть доступ в env то где бы ты не хранил ключи у него по любому уже есть доступ. | ||
Ответить | Правка | Наверх | Cообщить модератору |
151. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:51 | ||
А кто сказал, что env может утечь только через phpinfo? | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
7. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:44 | ||
Лал, оказывается это мелкософт снова обломал все барбершопы. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –1 +/– | |
Сообщение от Анонин (?), 27-Ноя-23, 14:53 | ||
> запись за пределы выделенного буфера | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +4 +/– | |
Сообщение от Anonist (?), 27-Ноя-23, 15:10 | ||
ChatGPT любой код превратит в божественный если правильно уметь задавать промпты. | ||
Ответить | Правка | Наверх | Cообщить модератору |
132. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +2 +/– | |
Сообщение от Аноним (72), 27-Ноя-23, 21:45 | ||
> "C. C newer changes" | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
136. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 22:49 | ||
Он прав. The newer C gets, the more dangerous it becomes. | ||
Ответить | Правка | Наверх | Cообщить модератору |
155. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от bOOster (ok), 28-Ноя-23, 08:19 | ||
Абсолютно в тему :) | ||
Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору |
10. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +2 +/– | |
Сообщение от Аноним (10), 27-Ноя-23, 14:57 | ||
На сайте зефирки | ||
Ответить | Правка | Наверх | Cообщить модератору |
111. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +3 +/– | |
Сообщение от 32 (?), 27-Ноя-23, 18:20 | ||
> В общем типи-кал С | ||
Ответить | Правка | Наверх | Cообщить модератору |
115. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –1 +/– | |
Сообщение от Аноньимъ (ok), 27-Ноя-23, 18:50 | ||
Явовскип так-то были. | ||
Ответить | Правка | Наверх | Cообщить модератору |
118. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –3 +/– | |
Сообщение от Аноним (10), 27-Ноя-23, 19:22 | ||
А не слишком это сложное решение, вместо того чтобы ПРОСТО проверять входные данные? | ||
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору |
129. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от хамоним (?), 27-Ноя-23, 20:50 | ||
Именно из-за Си шников которые любили использовать каки типа | ||
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору |
15. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (15), 27-Ноя-23, 15:22 | ||
Открывает сайтик Zephyr: | ||
Ответить | Правка | Наверх | Cообщить модератору |
20. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –1 +/– | |
Сообщение от Денис Попов (?), 27-Ноя-23, 15:34 | ||
>Понты дороже денег. Знаменитая сишечная секьюрность. | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (10), 27-Ноя-23, 15:46 | ||
"Уязвимость перла" почему-то находится в файле regcomp.c | ||
Ответить | Правка | Наверх | Cообщить модератору |
159. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Серб (ok), 28-Ноя-23, 13:31 | ||
Там не в индексах запутались, а в признаках типа кодировки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
161. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 28-Ноя-23, 15:42 | ||
UTF-8, с его переменным размером символа, требует некоторой возни с указателями. | ||
Ответить | Правка | Наверх | Cообщить модератору |
163. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Серб (ok), 28-Ноя-23, 16:37 | ||
> UTF-8, с его переменным размером символа, требует некоторой возни с указателями. | ||
Ответить | Правка | Наверх | Cообщить модератору |
131. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +1 +/– | |
Сообщение от YetAnotherOnanym (ok), 27-Ноя-23, 21:28 | ||
> злоумышленник может разместить свой cmd.exe в каталог C:\ProgramData и поднять свои привилегии, если администратор запустит Perl-скрипт из этого каталога | ||
Ответить | Правка | Наверх | Cообщить модератору |
133. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (72), 27-Ноя-23, 21:47 | ||
Когда проломят череп, лишая тебя кошелька и мобилы ты знай — это не преступники плохие, просто ты ходил не там и не в то время. | ||
Ответить | Правка | Наверх | Cообщить модератору |
137. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +4 +/– | |
Сообщение от Аноним (135), 27-Ноя-23, 22:51 | ||
Ну, если ты пришёл ночью в фавелы, то дальнейшая последовательность действий действительно ни на что не влияет :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
149. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (149), 27-Ноя-23, 23:43 | ||
Вот и прекрасно, обнаружили - пофиксили, теперь ПО на божественной Сишечке стало только лучше. Не бывает багов только у тех языков, на которых ничего не пишут )) | ||
Ответить | Правка | Наверх | Cообщить модератору |
162. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от Аноним (135), 28-Ноя-23, 16:07 | ||
> ПО на божественной Сишечке стало только лучше | ||
Ответить | Правка | Наверх | Cообщить модератору |
157. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | –1 +/– | |
Сообщение от Аноним (157), 28-Ноя-23, 12:13 | ||
>Уязвимости в Perl | ||
Ответить | Правка | Наверх | Cообщить модератору |
166. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" | +/– | |
Сообщение от ыы (?), 28-Ноя-23, 20:17 | ||
и где этот докладчик теперь? а perl жив :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |