forum.opennet.ru - "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" (67)

"Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
Сообщение от opennews (?), 27-Ноя-23, 14:29
Несколько недавно обнаруженных уязвимостей:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60185
Ответить \| Правка \| Cообщить модератору

Оглавление

И так тихонько докеры обошли в изложении , Tron is Whistling (?), 14:29 , 27-Ноя-23, (1) –4
Вообще таскать чувствительную информацию в env могли придумать только смузихлёбы, Tron is Whistling (?), 14:32 , 27-Ноя-23, (3) –5

Скрыто модератором, Аноним (4), 14:38 , 27-Ноя-23, (4) +11

Скрыто модератором, Tron is Whistling (?), 14:42 , 27-Ноя-23, (5)
Скрыто модератором, Tron is Whistling (?), 14:42 , 27-Ноя-23, (6) +4

Скрыто модератором, нах. (?), 18:04 , 27-Ноя-23, (107) –1

Скрыто модератором, Аноним (113), 18:26 , 27-Ноя-23, (113) +1

Скрыто модератором, твой анестезиолог (?), 18:58 , 27-Ноя-23, (116) –2

Ну а по фактам-то есть что сказать Или только как дедушка выругаться 171 пук-, Рычаг (?), 15:10 , 27-Ноя-23, (12) +1

А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки , Tron is Whistling (?), 15:12 , 27-Ноя-23, (13) –1

Если лежат, то да, а если только передавать, то просто ещё один способ передать , Рычаг (?), 15:19 , 27-Ноя-23, (14) +1

Хм, наверно, если даже и лежат, то тоже ничего страшного Вот раскрывать перемен, Рычаг (?), 15:27 , 27-Ноя-23, (16)
Ну да если бутерброд упал на пол и его успели поднять менее, чем за 5 сек, т, all_glory_to_the_hypnotoad (ok), 16:41 , 27-Ноя-23, (27) +2

А что имеется в виду Что управление памятью слишком сложно, чтобы считать, что , Рычаг (?), 17:15 , 27-Ноя-23, (38)

до UNsetenv, UNsetenv , Рычаг (?), 17:18 , 27-Ноя-23, (42)

Примерно как сделать exec после fork и думать, что это дофига безопасно , Аноним (135), 22:47 , 27-Ноя-23, (135)
А кто будет их в пайп оправлять Админ лично Или какая-то прога, которая возьмё, Аноним (135), 23:14 , 27-Ноя-23, (143)

А где ж они должны лежать, дорогой ты мой , Аноним (72), 17:31 , 27-Ноя-23, (72) +1

В коде, как принято , Аноним (104), 18:02 , 27-Ноя-23, (104) +3

в гитхабе и гитляпе, для надежности , нах. (?), 18:05 , 27-Ноя-23, (108)
Только обязательно рядом комментарий оставить, что ты понимаешь, что так делать , Рычаг (?), 18:08 , 27-Ноя-23, (110) +1

int getRandomNumber return 4 chosen by fair dice roll , Аноним (135), 23:06 , 27-Ноя-23, (141)

Биндмаунты делать давно разучились etcd тоже отменили Ясно-понятно , Tron is Whistling (?), 19:36 , 27-Ноя-23, (119)

Ох уж эти 171 ветераны 187 171 системного 187 171 администрирования 1, Аноним (72), 19:51 , 27-Ноя-23, (120) +1

Вы главное продолжайте хранить пароли в окружении, не стирая таковое до форка , Tron is Whistling (?), 23:04 , 27-Ноя-23, (138)
Что мешает тебе создать инстанс etcd, доступный только с конкретного контейнера , Tron is Whistling (?), 23:06 , 27-Ноя-23, (140)

Недостаточная степень юникс-ветеранства этот не вполне изящный термин был введе, Аноним (135), 23:09 , 27-Ноя-23, (142) +2

Поди ещё и вся аппликуха в коньтеноре от рута работает , Tron is Whistling (?), 23:23 , 27-Ноя-23, (144)
Но я уже на эту тему выше отписал Отметить NOTABUG и WONTFIX и закрыть Чужие кри, Tron is Whistling (?), 23:25 , 27-Ноя-23, (145)
И вообще, способов передать волатильные параметры - 1000 1, но смузихлёбы как вс, Tron is Whistling (?), 23:37 , 27-Ноя-23, (147)

Как говорится, есть два стула На одном придуманная сорок лет назад юникс-дедами, Аноним (160), 13:45 , 28-Ноя-23, (160) +1

Поверь, если у тебя пароли и ключи лежат в ENV - даже один самоподписанный серти, Tron is Whistling (?), 23:38 , 27-Ноя-23, (148)

И этот человек ещё что-то про смузихлёбов говорил, хех, Рычаг (?), 21:19 , 27-Ноя-23, (130) +1

Да и перед exec можете новое окружение не создавать - всё нормально , Tron is Whistling (?), 23:05 , 27-Ноя-23, (139)
Интересно, что этим господам мешало запустить внутри коньтенора сервис с очищенн, Tron is Whistling (?), 23:26 , 27-Ноя-23, (146)

То, что ему эти параметры НУЖНЫ , Аноним (135), 12:57 , 28-Ноя-23, (158)

А переложить параметры в файлы конфигурации до запуска религия не позволяет Или , Tron is Whistling (?), 21:06 , 28-Ноя-23, (167)

s волатильные сенситивные , Tron is Whistling (?), 21:06 , 28-Ноя-23, (168)

Может, начать с того, что если приложение запускается - это уже повод взять метл, Аноним (135), 22:46 , 27-Ноя-23, (134)

И вот тут начинается замечательная проблема Форкнул ты какой-нибудь ffmpeg для о, Tron is Whistling (?), 23:49 , 27-Ноя-23, (150)

Да вобщем ничего страшного в использовании паролей в env нет, только если эту ин, Liin (ok), 15:57 , 27-Ноя-23, (22)

Если у злоумышленника есть доступ в env то где бы ты не хранил ключи у него по л, Аноним (113), 18:28 , 27-Ноя-23, (114)
А кто сказал, что env может утечь только через phpinfo Любая дыра с утечкой данн, Tron is Whistling (?), 23:51 , 27-Ноя-23, (151)

Лал, оказывается это мелкософт снова обломал все барбершопы vendor microsoft mic, Tron is Whistling (?), 14:44 , 27-Ноя-23, (7)
C C newer changes Такое ощущение, что на Zephyr просто натравили какой-то анал, Анонин (?), 14:53 , 27-Ноя-23, (9) –1

ChatGPT любой код превратит в божественный если правильно уметь задавать промпты, Anonist (?), 15:10 , 27-Ноя-23, (11) +4
А этот пацак всё время говорит на языках, продолжения которых не знает , Аноним (72), 21:45 , 27-Ноя-23, (132) +2

Он прав The newer C gets, the more dangerous it becomes , Аноним (135), 22:49 , 27-Ноя-23, (136)
Абсолютно в тему , bOOster (ok), 08:19 , 28-Ноя-23, (155)

На сайте зефирки A proven RTOS ecosystem, by developers, for developers про ю, Аноним (10), 14:57 , 27-Ноя-23, (10) +2

Да когда вы уже создадите свой проц который будет питон чистый исполнять или яву, 32 (?), 18:20 , 27-Ноя-23, (111) +3

Явовскип так-то были В си процы вообще довольно отвратительная штука Они числа , Аноньимъ (ok), 18:50 , 27-Ноя-23, (115) –1
А не слишком это сложное решение, вместо того чтобы ПРОСТО проверять входные дан, Аноним (10), 19:22 , 27-Ноя-23, (118) –3
Именно из-за Си шников которые любили использовать каки типа struct foo NUL, хамоним (?), 20:50 , 27-Ноя-23, (129) +1

Открывает сайтик Zephyr А в реальности Понты дороже денег Знаменитая сишечная с, Аноним (15), 15:22 , 27-Ноя-23, (15)

Не бойся, остальные языки безопасные А упоминание Perl в первом абзаце тебе при, Денис Попов (?), 15:34 , 27-Ноя-23, (20) –1

Уязвимость перла почему-то находится в файле regcomp cЗапутались с индексах, с, Аноним (10), 15:46 , 27-Ноя-23, (21)

Там не в индексах запутались, а в признаках типа кодировки , Серб (ok), 13:31 , 28-Ноя-23, (159)

UTF-8, с его переменным размером символа, требует некоторой возни с указателями , Аноним (135), 15:42 , 28-Ноя-23, (161)

Еще раз Там проблема с их собственными хаками работы с utf8 Когда в начале стро, Серб (ok), 16:37 , 28-Ноя-23, (163)

Если админ запускает файлы из каталога с такими разрешениями, то специфичная для, YetAnotherOnanym (ok), 21:28 , 27-Ноя-23, (131) +1

Когда проломят череп, лишая тебя кошелька и мобилы ты знай 8212 это не престу, Аноним (72), 21:47 , 27-Ноя-23, (133)

Ну, если ты пришёл ночью в фавелы, то дальнейшая последовательность действий дей, Аноним (135), 22:51 , 27-Ноя-23, (137) +4

Вот и прекрасно, обнаружили - пофиксили, теперь ПО на божественной Сишечке стало, Аноним (149), 23:43 , 27-Ноя-23, (149)

Дыры его только украшают , Аноним (135), 16:07 , 28-Ноя-23, (162)

Помнится мне, что раньше на конференциях, в докладах, посвящённых уязвимостям в , Аноним (157), 12:13 , 28-Ноя-23, (157) –1

и где этот докладчик теперь а perl жив , ыы (?), 20:17 , 28-Ноя-23, (166)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –4 +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:29

> переменных окружения, которые могут содержать пароль администратора, лицензионный ключ и учётные данные для подключения к почтовому серверу
И так тихонько докеры обошли в изложении...

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –5 +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:32

Вообще таскать чувствительную информацию в env могли придумать только смузихлёбы.

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором +11 +/–

Сообщение от Аноним (4), 27-Ноя-23, 14:38

90% современных погромистов это смузихлебы. Либо живи с этим, либо меняй род деятельности.

Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42

Ну, меня всегда забавляют вот эти вот новости, что у них там что-то поломалось из-за того, что они котлету прямо тараканам в мусорницу положили.

Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором +4 +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42

(честно говоря этому "CVE" стоило бы поставить WONTFIX, потому что нет там уязвимости, разве что в идиотских сетапах)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

107. Скрыто модератором –1 +/–

Сообщение от нах. (?), 27-Ноя-23, 18:04

> разве что в идиотских сетапах
т.е. всех более-менее реальных применениях.
ну ок.

Ответить | Правка | Наверх | Cообщить модератору

113. Скрыто модератором +1 +/–

Сообщение от Аноним (113), 27-Ноя-23, 18:26

90% любых работников плохо делают свою работу, лол.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

116. Скрыто модератором –2 +/–

Сообщение от твой анестезиолог (?), 27-Ноя-23, 18:58

пациент, надеюсь вы понимаете что вы при таком раскладе - так и так труп? Напишете завещание в мою пользу? Хирург не зарежет - так я не разбужу. А патанатом делает у нас свою работу хорошо, потому что искренне ее любит.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Рычаг (?), 27-Ноя-23, 15:10

Ну а по фактам-то есть что сказать? Или только как дедушка выругаться «пук-среньк, смузихлёбы»?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –1 +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 15:12

А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Рычаг (?), 27-Ноя-23, 15:19

Если лежат, то да, а если только передавать, то просто ещё один способ передать значение извне в программу. Прочитал, сделал unsetenv и ходи довольный.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Рычаг (?), 27-Ноя-23, 15:27

Хм, наверно, если даже и лежат, то тоже ничего страшного. Вот раскрывать переменные окружения куда-то налево это косяк. Всё равно что файл с секретами катнуть в ответ на какой-нибудь запрос.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +2 +/–

Сообщение от all_glory_to_the_hypnotoad (ok), 27-Ноя-23, 16:41

Ну да ... если бутерброд упал на пол и его успели поднять менее, чем за 5 сек, то считается чистым и можно жрать. Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. ENV много где прикапывается, а unsetenv логическая операция, она не удаляет данные из памяти и другие копии ENV-ов. В общем случае корректно передавать секреты через пайпы, а не вот так.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

38. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Рычаг (?), 27-Ноя-23, 17:15

>она не удаляет данные из памяти
А что имеется в виду? Что управление памятью слишком сложно, чтобы считать, что после unsetenv всё пропало? Если на таком уровне рассматривать, то полностью безопасных способов передать секрет не окажется — секрет же всё равно в памяти оказывается, как ни крути.
>не удаляет другие копии ENV-ов
Тут спорить не с чем, разве что вот так возразить: это является проблемой не всегда. Если не отпочковывать новые процессы до setenv, то и не утечёт в другие env-ы.
>передавать секреты через пайпы
Так-то да, но ведь и передающему их нужно взять откуда-то…
Вообще, влезая в разговор про env, я скорее имел в виду, что передавать через окружение не страшнее, чем читать из файла. Да, менее удобно; да, какая-нибудь библиотека может в лог всё окружение «задебажить», но в общем, можно сказать, это такой специфический файл с адресацией.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Рычаг (?), 27-Ноя-23, 17:18

>Если не отпочковывать новые процессы до setenv
до UNsetenv, UNsetenv.

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 27-Ноя-23, 22:47

> Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих.
Примерно как сделать exec() после fork() и думать, что это дофига безопасно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

143. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 27-Ноя-23, 23:14

> В общем случае корректно передавать секреты через пайпы, а не вот так.
А кто будет их в пайп оправлять? Админ лично? Или какая-то прога, которая возьмёт их из файла или окружения? (Ба-дум-тссс!)

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

72. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Аноним (72), 27-Ноя-23, 17:31

А где ж они должны лежать, дорогой ты мой?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

104. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +3 +/–

Сообщение от Аноним (104), 27-Ноя-23, 18:02

В коде, как принято)

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от нах. (?), 27-Ноя-23, 18:05

в гитхабе и гитляпе, для надежности.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Рычаг (?), 27-Ноя-23, 18:08

Только обязательно рядом комментарий оставить, что ты понимаешь, что так делать нельзя и вообще дико извиняешься, хех.

Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

141. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 27-Ноя-23, 23:06

    int getRandomNumber()
    {
      return 4; // chosen by fair dice roll
                // guaranteed to be random
    }

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 19:36

Биндмаунты делать давно разучились?
etcd тоже отменили?
Ясно-понятно.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

120. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Аноним (72), 27-Ноя-23, 19:51

Ох уж эти «ветераны» «системного» «администрирования». А в etcd ты как попадёшь? На доверии, с нужного айпишника, надеюсь? Или у тебя там один самоподписанный сертификат на все контейнеры со временем жизни в 10 лет? Ясно-понятно.
> Биндмаунты
КЛБ!

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:04

Вы главное продолжайте хранить пароли в окружении, не стирая таковое до форка.

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:06

Что мешает тебе создать инстанс etcd, доступный только с конкретного контейнера?

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

142. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +2 +/–

Сообщение от Аноним (135), 27-Ноя-23, 23:09

Недостаточная степень юникс-ветеранства (этот не вполне изящный термин был введен в повествование, чтобы не использовать неполиткорректное слово, начинающееся на "долбое" и заканчивающийся на "изма").

Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:23

Поди ещё и вся аппликуха в коньтеноре от рута работает?

Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:25

Но я уже на эту тему выше отписал.
Отметить NOTABUG и WONTFIX и закрыть.
Чужие кривые руки у себя исправлять - так себе затея.

Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору

147. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:37

И вообще, способов передать волатильные параметры - 1000+1, но смузихлёбы как всегда выбрали самый удолбищный, который ещё и между процессами наследуется.

Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору

160. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Аноним (160), 28-Ноя-23, 13:45

Как говорится, есть два стула. На одном придуманная сорок лет назад юникс-дедами система переменных окружения. На другом отдельный инстанс distributed reliable key-value store written in Go доступный только с конкретного контейнера, поднятый для того чтобы приложение почитало из него конфиг и пароли. На какой стул сам сядешь, а на какой смузихлёба посадишь?

Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

148. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:38

Поверь, если у тебя пароли и ключи лежат в ENV - даже один самоподписанный сертификат будет лучше.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

130. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от Рычаг (?), 27-Ноя-23, 21:19

И этот человек ещё что-то про смузихлёбов говорил, хех

Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

139. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:05

> И этот человек ещё что-то про смузихлёбов говорил, хех
Да и перед exec можете новое окружение не создавать - всё нормально.

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:26

Интересно, что этим господам мешало запустить внутри коньтенора сервис с очищенным от внешних параметров env?

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

158. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 28-Ноя-23, 12:57

То, что ему эти параметры НУЖНЫ?

Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06

А переложить параметры в файлы конфигурации до запуска религия не позволяет?
Или в смузи-мирке так модно волатильные данные отдавать всем дочерним процессам, пока какой-нибудь не протечёт?

Ответить | Правка | Наверх | Cообщить модератору

168. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06

// s/волатильные/сенситивные/

Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 27-Ноя-23, 22:46

> А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки.
Может, начать с того, что если приложение запускается - это уже повод взять метлу?
(Потому что если оно запустилось, то в его памяти хоть что-то интересное, да найдётся)

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

150. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:49

И вот тут начинается замечательная проблема.
Форкнул ты какой-нибудь ffmpeg для обработки. ENV туда благополучно унаследовался.
Весь этот твой ключ от S3 (который часто один, что не лучше самоподписного сертификата) ему не нужен, и он его не использует.
Но если там найдётся CVE с утечкой памяти процесса в результат - ну, ты понял.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Liin (ok), 27-Ноя-23, 15:57

Да вобщем ничего страшного в использовании паролей в env нет, только если эту инфу не раскрывают наружу всем, кому ни попадя, как ребята с GetPhpInfo.php, который явно для дебага использовался и по какой-то причине был включен в прод. Хотя, конечно, лишнего в env тоже быть не должно. И если от пароля mysql там толку снаружи не будет, то от пароля админа - может пострадать админка. Разумно надо к этому подходить, взвешивать риски.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

114. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (113), 27-Ноя-23, 18:28

Если у злоумышленника есть доступ в env то где бы ты не хранил ключи у него по любому уже есть доступ.

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:51

А кто сказал, что env может утечь только через phpinfo?
Любая дыра с утечкой данных из памяти процесса во внешней 3rd-party тулзе - и привет.
Это при том, что самому процессу твой env вообще может быть не нужен, но поскольку его не почистили - он туда и унаследовался.
Мораль?
Чистить env надо после принятия параметров, чистить.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

7. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:44

Лал, оказывается это мелкософт снова обломал все барбершопы.
vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –1 +/–

Сообщение от Анонин (?), 27-Ноя-23, 14:53

> запись за пределы выделенного буфера
> Use-After-Free + переполнение буфера
> и еще почти 25 переполнений буфера с RCE
"C. C newer changes"
Такое ощущение, что на Zephyr просто натравили какой-то анализатор и сразу попер высококачественный код лучших в мире погромистов.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +4 +/–

Сообщение от Anonist (?), 27-Ноя-23, 15:10

ChatGPT любой код превратит в божественный если правильно уметь задавать промпты.

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +2 +/–

Сообщение от Аноним (72), 27-Ноя-23, 21:45

> "C. C newer changes"
А этот пацак всё время говорит на языках, продолжения которых не знает!

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

136. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 27-Ноя-23, 22:49

Он прав. The newer C gets, the more dangerous it becomes.

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от bOOster (ok), 28-Ноя-23, 08:19

Абсолютно в тему :)

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

10. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +2 +/–

Сообщение от Аноним (10), 27-Ноя-23, 14:57

На сайте зефирки
"A proven RTOS ecosystem, by developers, for developers" (про юзеров они ничего не говорят) )
"strives to deliver the best-in-class RTOS"
а на деле фиксы вида
    if (params->ssid_length > WIFI_SSID_MAX_LEN) {
или ошибки Signed to unsigned conversion errors and buffer overflow
но если одного буфера мало, можно переполнить два Two buffer overflow vulnerabilities in Zephyr USB code
Итак дырявые WiFi стек, стек Bluetooth, USB-стек, файловой системе, очередной вайфай eS-WiFi и шина CANbus.
Такое впечатление, что у них нет ни одной подсистемы без дыреней /_о
В общем типи-кал С от лучших погромиздов под эгидой TheLinuxFoundationProjects
Неудивительно, что наверное самая распространенная это ThreadsX из соседней темы, несмотря даже на проприетарную лицензию.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +3 +/–

Сообщение от 32 (?), 27-Ноя-23, 18:20

> В общем типи-кал С
Да когда вы уже создадите свой проц который будет питон чистый исполнять или яву, и свалите с этой планеты в свою нарнию

Ответить | Правка | Наверх | Cообщить модератору

115. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –1 +/–

Сообщение от Аноньимъ (ok), 27-Ноя-23, 18:50

Явовскип так-то были.
В си процы вообще довольно отвратительная штука. Они числа дробят быстро да. А код общего назначения у них черещ костыли работает.
Интел конечно сильно старался десятки лет...

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –3 +/–

Сообщение от Аноним (10), 27-Ноя-23, 19:22

А не слишком это сложное решение, вместо того чтобы ПРОСТО проверять входные данные?
Или вы считаете что дыряшечники настолько безнадежны, что проще свой проц запилить, чем этих необучаемых заставить?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

129. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от хамоним (?), 27-Ноя-23, 20:50

Именно из-за Си шников которые любили использовать каки типа
(*(struct foo *)NULL) = x
ARM для Cortex-M прямо в железо вхардкодила поведение, что на это говоно кидается безусловный и немедленный HardFault
Вот как приходится бороться с криворукостью убогих!
Возможно еще через 5 лет придется добавлять обязательную неотключаемую проверку границ массива, прям в процессор.
Ибо языку почти полтос, ядру больше 30ки, а уязвимости вида "шел сишник по массиву, взял и сделал out-of-bounds" живут и процветают до сих пор.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

15. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (15), 27-Ноя-23, 15:22

Открывает сайтик Zephyr:
> Build secure [..] devices with Zephyr®
> Developed with security in mind.
> Employs an in-depth security development lifecycle
А в реальности:
> 25 уязвимостей, большинство из которых потенциально могут привести к выполнению кода атакующего
Понты дороже денег. Знаменитая сишечная секьюрность.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –1 +/–

Сообщение от Денис Попов (?), 27-Ноя-23, 15:34

>Понты дороже денег. Знаменитая сишечная секьюрность.
Не бойся, остальные языки безопасные. А упоминание Perl в первом абзаце тебе примерещилось.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (10), 27-Ноя-23, 15:46

"Уязвимость перла" почему-то находится в файле regcomp.c
Запутались с индексах, с кем бывает.

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Серб (ok), 28-Ноя-23, 13:31

Там не в индексах запутались, а в признаках типа кодировки.

Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 28-Ноя-23, 15:42

UTF-8, с его переменным размером символа, требует некоторой возни с указателями.

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Серб (ok), 28-Ноя-23, 16:37

> UTF-8, с его переменным размером символа, требует некоторой возни с указателями.
Еще раз. Там проблема с их собственными хаками работы с utf8.
Когда в начале строки пишется признак того, что строка в utf8. Иногда дважды.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +1 +/–

Сообщение от YetAnotherOnanym (ok), 27-Ноя-23, 21:28

> злоумышленник может разместить свой cmd.exe в каталог C:\ProgramData и поднять свои привилегии, если администратор запустит Perl-скрипт из этого каталога
Если админ запускает файлы из каталога с такими разрешениями, то специфичная для перла последовательность поиска исполняемых файлов как-то уже мало на что влияет.

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (72), 27-Ноя-23, 21:47

Когда проломят череп, лишая тебя кошелька и мобилы ты знай — это не преступники плохие, просто ты ходил не там и не в то время.

Ответить | Правка | Наверх | Cообщить модератору

137. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +4 +/–

Сообщение от Аноним (135), 27-Ноя-23, 22:51

Ну, если ты пришёл ночью в фавелы, то дальнейшая последовательность действий действительно ни на что не влияет :)

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (149), 27-Ноя-23, 23:43

Вот и прекрасно, обнаружили - пофиксили, теперь ПО на божественной Сишечке стало только лучше. Не бывает багов только у тех языков, на которых ничего не пишут ))

Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от Аноним (135), 28-Ноя-23, 16:07

> ПО на божественной Сишечке стало только лучше
Дыры его только украшают :)

Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" –1 +/–

Сообщение от Аноним (157), 28-Ноя-23, 12:13

>Уязвимости в Perl
Помнится мне, что раньше на конференциях, в докладах, посвящённых уязвимостям в самом языке Perl, докладчик любил вставлять слайд, на котором было написано:
PERL IS DEAD, DON'T USE PERL.

Ответить | Правка | Наверх | Cообщить модератору

166. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS" +/–

Сообщение от ыы (?), 28-Ноя-23, 20:17

и где этот докладчик теперь? а perl жив :)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	–4 +/–
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:29
> переменных окружения, которые могут содержать пароль администратора, лицензионный ключ и учётные данные для подключения к почтовому серверу И так тихонько докеры обошли в изложении...
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	–5 +/–
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:32
Вообще таскать чувствительную информацию в env могли придумать только смузихлёбы.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. Скрыто модератором	+11 +/–
	Сообщение от Аноним (4), 27-Ноя-23, 14:38
	90% современных погромистов это смузихлебы. Либо живи с этим, либо меняй род деятельности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. Скрыто модератором	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42
	Ну, меня всегда забавляют вот эти вот новости, что у них там что-то поломалось из-за того, что они котлету прямо тараканам в мусорницу положили.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. Скрыто модератором	+4 +/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42
	(честно говоря этому "CVE" стоило бы поставить WONTFIX, потому что нет там уязвимости, разве что в идиотских сетапах)
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	107. Скрыто модератором	–1 +/–
	Сообщение от нах. (?), 27-Ноя-23, 18:04
	> разве что в идиотских сетапах т.е. всех более-менее реальных применениях. ну ок.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	113. Скрыто модератором	+1 +/–
	Сообщение от Аноним (113), 27-Ноя-23, 18:26
	90% любых работников плохо делают свою работу, лол.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	116. Скрыто модератором	–2 +/–
	Сообщение от твой анестезиолог (?), 27-Ноя-23, 18:58
	пациент, надеюсь вы понимаете что вы при таком раскладе - так и так труп? Напишете завещание в мою пользу? Хирург не зарежет - так я не разбужу. А патанатом делает у нас свою работу хорошо, потому что искренне ее любит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+1 +/–
	Сообщение от Рычаг (?), 27-Ноя-23, 15:10
	Ну а по фактам-то есть что сказать? Или только как дедушка выругаться «пук-среньк, смузихлёбы»?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	13. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	–1 +/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 15:12
	А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+1 +/–
	Сообщение от Рычаг (?), 27-Ноя-23, 15:19
	Если лежат, то да, а если только передавать, то просто ещё один способ передать значение извне в программу. Прочитал, сделал unsetenv и ходи довольный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Рычаг (?), 27-Ноя-23, 15:27
	Хм, наверно, если даже и лежат, то тоже ничего страшного. Вот раскрывать переменные окружения куда-то налево это косяк. Всё равно что файл с секретами катнуть в ответ на какой-нибудь запрос.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+2 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok), 27-Ноя-23, 16:41
	Ну да ... если бутерброд упал на пол и его успели поднять менее, чем за 5 сек, то считается чистым и можно жрать. Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. ENV много где прикапывается, а unsetenv логическая операция, она не удаляет данные из памяти и другие копии ENV-ов. В общем случае корректно передавать секреты через пайпы, а не вот так.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	38. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Рычаг (?), 27-Ноя-23, 17:15
	>она не удаляет данные из памяти А что имеется в виду? Что управление памятью слишком сложно, чтобы считать, что после unsetenv всё пропало? Если на таком уровне рассматривать, то полностью безопасных способов передать секрет не окажется — секрет же всё равно в памяти оказывается, как ни крути. >не удаляет другие копии ENV-ов Тут спорить не с чем, разве что вот так возразить: это является проблемой не всегда. Если не отпочковывать новые процессы до setenv, то и не утечёт в другие env-ы. >передавать секреты через пайпы Так-то да, но ведь и передающему их нужно взять откуда-то… Вообще, влезая в разговор про env, я скорее имел в виду, что передавать через окружение не страшнее, чем читать из файла. Да, менее удобно; да, какая-нибудь библиотека может в лог всё окружение «задебажить», но в общем, можно сказать, это такой специфический файл с адресацией.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Рычаг (?), 27-Ноя-23, 17:18
	>Если не отпочковывать новые процессы до setenv до UNsetenv, UNsetenv.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	135. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Аноним (135), 27-Ноя-23, 22:47
	> Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. Примерно как сделать exec() после fork() и думать, что это дофига безопасно.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	143. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Аноним (135), 27-Ноя-23, 23:14
	> В общем случае корректно передавать секреты через пайпы, а не вот так. А кто будет их в пайп оправлять? Админ лично? Или какая-то прога, которая возьмёт их из файла или окружения? (Ба-дум-тссс!)
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	72. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+1 +/–
	Сообщение от Аноним (72), 27-Ноя-23, 17:31
	А где ж они должны лежать, дорогой ты мой?
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	104. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+3 +/–
	Сообщение от Аноним (104), 27-Ноя-23, 18:02
	В коде, как принято)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от нах. (?), 27-Ноя-23, 18:05
	в гитхабе и гитляпе, для надежности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	110. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+1 +/–
	Сообщение от Рычаг (?), 27-Ноя-23, 18:08
	Только обязательно рядом комментарий оставить, что ты понимаешь, что так делать нельзя и вообще дико извиняешься, хех.
	Ответить \| Правка \| К родителю #104 \| Наверх \| Cообщить модератору


	141. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Аноним (135), 27-Ноя-23, 23:06
	int getRandomNumber() { return 4; // chosen by fair dice roll // guaranteed to be random }
	Ответить \| Правка \| Наверх \| Cообщить модератору


	119. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 19:36
	Биндмаунты делать давно разучились? etcd тоже отменили? Ясно-понятно.
	Ответить \| Правка \| К родителю #72 \| Наверх \| Cообщить модератору


	120. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+1 +/–
	Сообщение от Аноним (72), 27-Ноя-23, 19:51
	Ох уж эти «ветераны» «системного» «администрирования». А в etcd ты как попадёшь? На доверии, с нужного айпишника, надеюсь? Или у тебя там один самоподписанный сертификат на все контейнеры со временем жизни в 10 лет? Ясно-понятно. > Биндмаунты КЛБ!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	138. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:04
	Вы главное продолжайте хранить пароли в окружении, не стирая таковое до форка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	140. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:06
	Что мешает тебе создать инстанс etcd, доступный только с конкретного контейнера?
	Ответить \| Правка \| К родителю #120 \| Наверх \| Cообщить модератору


	142. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+2 +/–
	Сообщение от Аноним (135), 27-Ноя-23, 23:09
	Недостаточная степень юникс-ветеранства (этот не вполне изящный термин был введен в повествование, чтобы не использовать неполиткорректное слово, начинающееся на "долбое" и заканчивающийся на "изма").
	Ответить \| Правка \| Наверх \| Cообщить модератору


	144. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:23
	Поди ещё и вся аппликуха в коньтеноре от рута работает?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	145. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:25
	Но я уже на эту тему выше отписал. Отметить NOTABUG и WONTFIX и закрыть. Чужие кривые руки у себя исправлять - так себе затея.
	Ответить \| Правка \| К родителю #142 \| Наверх \| Cообщить модератору


	147. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"	+/–
	Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:37
	И вообще, способов передать волатильные параметры - 1000+1, но смузихлёбы как всегда выбрали самый удолбищный, который ещё и между процессами наследуется.
	Ответить \| Правка \| К родителю #142 \| Наверх \| Cообщить модератору