forum.opennet.ru - "Уязвимость в cups-filters, позволяющая выполнить код на сервере" (46)

"Уязвимость в cups-filters, позволяющая выполнить код на сервере"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в cups-filters, позволяющая выполнить код на сервере"	+/–
Сообщение от opennews (?), 22-Май-23, 22:50
В пакете cups-filters, включающем компоненты для организации работы сервиса печати, найдена уязвимость (CVE-2023-24805), позволяющая удалённо выполнить произвольные команды на сервере печати через отправку специально оформленного задания вывода на печать. В настоящее время исправление доступно в виде патча. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59181
Ответить \| Правка \| Cообщить модератору

Оглавление

Действительно, что же могло пойти не так _-, Анонин (?), 22:50 , 22-Май-23, (1) –4

Так развивай мысль дальше, что там не так scheme 0 0 strncat scheme, u, Ivan_83 (ok), 00:27 , 23-Май-23, (17) +4
Вообще-то это system многострадальный - к си относится только тем что из си эт, Аноним (-), 01:59 , 23-Май-23, (25) +2

Как будто, из самого правильного языка невозможно вызвать эту злосчастную system, Аноним (30), 11:36 , 23-Май-23, (30)

Собственно исходники на сях имеет смысл прицельно сканировать на наличие вызова , Аноним (-), 19:38 , 23-Май-23, (37)

А причём тут С Отсутствие недостаточная фильтрация входных данных - частая болез, Ivan_83 (ok), 13:24 , 24-Май-23, (43)

Только при том что я его знаю, поэтому знаю что для него сканировать надо Во, Аноним (-), 22:36 , 24-Май-23, (44)

Сишники и строки, том 2023, глава 24805 , Аноним (2), 23:00 , 22-Май-23, (2) –4

Купс это что-то из набора штатных бэкдоров, как и гхостскрипт Сишники тут ни пр, Аноним (3), 23:13 , 22-Май-23, (3) –4

Канеш ни при чём, они всегда ни при чём , Герострат (?), 23:14 , 22-Май-23, (4) –1

Смотри кто автор , Аноним (3), 23:53 , 22-Май-23, (8)

Код в котором встречается system вообще особого доверия не заслуживает Если к, Аноним (26), 02:05 , 23-Май-23, (26)

Он в этом случае виноват только тем что шелл вызвал Шелл на лся на хитром эск, Аноним (-), 19:39 , 23-Май-23, (38)

Чувак, причём тут С и строки Автор кода получил строку по сети и отправил её в s, Ivan_83 (ok), 00:23 , 23-Май-23, (14) +10

Действительно, можно такое написать на чём угодно, но написано на Си И все эти , Аноним (2), 15:16 , 23-Май-23, (34)

Нет Вы сами себе придумали строки а потом жалуетесь что с ними нечем работать По, Ivan_83 (ok), 16:23 , 23-Май-23, (36) +1

Вот именно про это я и говорю неназванное Очень уж напоминает языки некоторых , Аноним (2), 20:19 , 23-Май-23, (40)

Вы синтаксический сахар нужный для обработки строк возводите в мастхэв максимум , Ivan_83 (ok), 13:19 , 24-Май-23, (42)

Интересно за какой он синтаксический сахар топит Кто-то заморочился позатыкать , Аноним (-), 22:42 , 24-Май-23, (46)

Если вызвать шелл с вон теми закорючками из другого ЯП - результат будет тот же , Аноним (-), 20:12 , 23-Май-23, (39)

Если 8230 Эх, вот только если 8230 Но вызвали из Си и получили то, что получ, Аноним (2), 20:20 , 23-Май-23, (41)

Есть полно случаев когда вызывают и не из си, получая то же самое по смыслу Вот, Аноним (-), 22:38 , 24-Май-23, (45)

Я правильно понимаю, у них критическая ошибка в обработчике ошибок 128516 , Герострат (?), 23:16 , 22-Май-23, (5)
а вы думали что просто так оно жепой в интернет смотрит , Аноним (6), 23:23 , 22-Май-23, (6)

И кто его жепой в инет выставляет Список в студию , Аноним (30), 11:37 , 23-Май-23, (31)

в сях да и в плюсах работа со строками одно мучение Поэтому меня всегда так ра, хрю (?), 23:51 , 22-Май-23, (7) –3

Есть только ICU В принципе есть только ICU, если ты хочешь юникод ICU не куцая, Аноним (3), 23:59 , 22-Май-23, (9) –3

нет это вопрос - качаешь исходники, пытаешься сделать патч, чтоб появилось что , хрю (?), 00:21 , 23-Май-23, (13)
просто гомерический хохот Особенно когда ждут заврешающие нули, переполняя буфе, Аноним (18), 00:29 , 23-Май-23, (18)

Чем для тебя std string и std string_view ненормальны и неудобны , ИмяХ (?), 23:59 , 22-Май-23, (10) +2

Это настолько же удобно, насколько удобны жигули Так ездите на жигулях w w , хрю (?), 00:13 , 23-Май-23, (11) –3

Это не ответ на вопрос Так чем неудобны то , Аноним (16), 00:26 , 23-Май-23, (16)

Тем, что большинство современных писак програмят по принципу Хочу играть на гит, BorichL (ok), 15:29 , 23-Май-23, (35) –1

Недостатком доступных методов для работы со строками Жить можно, но неудобно , Аноним (28), 09:13 , 23-Май-23, (28)
Тем, что они не позволяют адекватно сделать посимвольный проход по строке ASCII, Челик с гитлаба (?), 09:48 , 23-Май-23, (29)

Самое очевидное на что не хватает ума хейтерам - это понять что никаких строк в , Ivan_83 (ok), 00:21 , 23-Май-23, (12) +1

да-да формировать текстовые строки на сях нельзя, ведь их нет поэтому придётся, хрю (?), 00:24 , 23-Май-23, (15)

В чём претензия то Язык низкоуровневый, если вам охота обмазыватся сахаром и не , Ivan_83 (ok), 00:36 , 23-Май-23, (21)

О, еще один У одного ничего никогда не падало , а у этого никогда за пределы , Аноним (27), 09:08 , 23-Май-23, (27)

Но тут вдруг на данные простые вводные накладывается техника работы с завершающи, Аноним (18), 00:43 , 23-Май-23, (22)

Нет, правила не меняются Хотите абстракции - да на здоровье, ищите пишите либу к, Ivan_83 (ok), 01:05 , 23-Май-23, (23) +1
Оу, а потом программисту поступает задача из Азии, он узнаёт про unicode, UTF-16, Аноним (32), 11:49 , 23-Май-23, (32)

Пофиксил , YetAnotherOnanym (ok), 00:32 , 23-Май-23, (19)
Вылезай С 20 std u8string, Аноним (30), 12:08 , 23-Май-23, (33)

Скрыто модератором, Аноним (-), 00:33 , 23-Май-23, (20)
Debian уже пофиксил, Аноним (24), 01:25 , 23-Май-23, (24)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Анонин (?), 22-Май-23, 22:50 –4 +/–

> beh.c
> char scheme[1024]
> '\0'
Действительно, что же могло пойти не так //_-

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #25

2. Сообщение от Аноним (2), 22-Май-23, 23:00 –4 +/–

Сишники и строки, том 2023, глава 24805.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #14

3. Сообщение от Аноним (3), 22-Май-23, 23:13 –4 +/–

Купс это что-то из набора штатных бэкдоров, как и гхостскрипт. Сишники тут ни при чём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от Герострат (?), 22-Май-23, 23:14 –1 +/–

Канеш ни при чём, они всегда ни при чём

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #38

5. Сообщение от Герострат (?), 22-Май-23, 23:16 +/–

Я правильно понимаю, у них критическая ошибка в обработчике ошибок? 😄

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Аноним (6), 22-Май-23, 23:23 +/–

а вы думали что просто так оно жепой в интернет смотрит?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

7. Сообщение от хрю (?), 22-Май-23, 23:51 –3 +/–

в сях (да и в плюсах) работа со строками одно мучение.
Поэтому меня всегда так радуют описания нововведений в сях и плюсах, то сё, пятое десятое, а нормальной удобной стандартной библиотеки для строк нет. А уж про utf и заикаться не надо - каждый как черепашка тащит свою реализацию ... куцую и убогую.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10, #12, #19, #33

8. Сообщение от Аноним (3), 22-Май-23, 23:53 +/–

> Канеш ни при чём, они всегда ни при чём
Смотри кто автор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #26

9. Сообщение от Аноним (3), 22-Май-23, 23:59 –3 +/–

> в сях (да и в плюсах) работа со строками одно мучение.
> Поэтому меня всегда так радуют описания нововведений в сях и плюсах, то
> сё, пятое десятое, а нормальной удобной стандартной библиотеки для строк нет.
> А уж про utf и заикаться не надо - каждый как
> черепашка тащит свою реализацию ... куцую и убогую.
Есть только ICU. В принципе есть только ICU, если ты хочешь юникод. ICU не куцая, ICU блотварь. Какие твои проблемы, всё прекрасно со строками в плюсах? В си нет строк, есть asciiz, что вполне себе неплохо и эффективно на практике. Не драматизируй, это всё вопрос привычки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13, #18

10. Сообщение от ИмяХ (?), 22-Май-23, 23:59 +2 +/–

Чем для тебя std::string и std:string_view ненормальны и неудобны?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11, #28, #29

11. Сообщение от хрю (?), 23-Май-23, 00:13 –3 +/–

Это настолько же удобно, насколько удобны жигули. Так ездите на жигулях[/w][/w][/w] используйте std:string сами.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16

12. Сообщение от Ivan_83 (ok), 23-Май-23, 00:21 +1 +/–

Самое очевидное на что не хватает ума хейтерам - это понять что никаких строк в С нет.
Есть выделенная область памяти, есть её размер и есть размер данных в ней - вот простое правило для работы с данными которые нужно интепретировать как строки.
Но в данном случае ошибка вообще про другое: данные от пользователя не достаточно проверяются/экранируются и это отдаётся в system() - те на запуск.
У пхп програмистов такое сплошь и рядом встречается, хотя строки там типа совсем безопасные.
В общем то на любом языке такая ошибка возможна, потому что никакой компелятор мамкиному кодеру не подскажет что надо данные полученные неведомо откуда перед вызовом system() проверять.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15, #22

13. Сообщение от хрю (?), 23-Май-23, 00:21 +/–

>>Не драматизируй, это всё вопрос привычки.
нет. это вопрос - качаешь исходники, пытаешься сделать патч, чтоб появилось что тебе надо. а фиг тебе. utf-а нет, строковых операций нет. Прымер - нужно название песни разбить по словам, первую букву поднять, остальные опустить. название песен на русском, янгл, фран, япон. языках. когда удобно, делается в пару строк.
>>вполне себе неплохо и эффективно на практике.
эффективно нужно там где, надо. а в других местах, должно быть удобно для программирования. какая разница сколь эффективно формируется строка запроса к капс? а по коду там огород из str func. "эффективность" во всех дырах привела к преждевременной языковой смерти :-)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

14. Сообщение от Ivan_83 (ok), 23-Май-23, 00:23 +10 +/–

Чувак, причём тут С и строки?
Автор кода получил строку по сети и отправил её в system(), не проведя никаких проверок и очисток.
Можно на джаве, го, расте написать тоже самое.
На пхп постоянно так делают и там SQL инекции случаются, именно это близкий аналог данной ошибки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #34

15. Сообщение от хрю (?), 23-Май-23, 00:24 +/–

> Самое очевидное на что не хватает ума хейтерам - это понять что
> никаких строк в С нет.
да-да. формировать текстовые строки на сях нельзя, ведь их нет. поэтому придётся извращаться на радость почитателям и формировать отсутствующие строки недо str функциями. в миллионных раз изобретая велосипед.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #21

16. Сообщение от Аноним (16), 23-Май-23, 00:26 +/–

Это не ответ на вопрос. Так чем неудобны то?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #35

17. Сообщение от Ivan_83 (ok), 23-Май-23, 00:27 +4 +/–

Так развивай мысль дальше, что там не так?
  scheme[0] = '\0';
  strncat(scheme, uri, sizeof(scheme) - 1);
вот это можно было заменить на
snprintf(scheme, sizeof(scheme),"%s", uri);
и всё.
А исправление:
https://github.com/OpenPrinting/cups-filters/commit/8f274035...
оно совсем про другое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (18), 23-Май-23, 00:29 +/–

> есть asciiz, что вполне себе неплохо и эффективно на практике
просто гомерический хохот. Особенно когда ждут заврешающие нули, переполняя буферы или когда их каждый раз ищут, чтобы длину посчитать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

19. Сообщение от YetAnotherOnanym (ok), 23-Май-23, 00:32 +/–

> а привычной для меня библиотеки для строк, как в том языке, на котором я кодил раньше, нет.
Пофиксил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

20. Сообщение от Аноним (-), 23-Май-23, 00:33 +/–

>system
Что мешало через тот же which сделать ресолвер для exec*?

Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Ivan_83 (ok), 23-Май-23, 00:36 +/–

В чём претензия то?
Язык низкоуровневый, если вам охота обмазыватся сахаром и не думать о таких мелочах - выбирайте другой язык.
Меня лично всё устраивает, о строках я забыл лет 15 назад и счастливо живу, контролируя и размер буфера и размер данных в нём.
Всякие strn*(), strlcpy() - юзаю не часто, snprintf() всё сам делает что мне надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27

22. Сообщение от Аноним (18), 23-Май-23, 00:43 +/–

> Есть выделенная область памяти, есть её размер и есть размер данных в ней - вот простое правило
Но тут вдруг на данные простые вводные накладывается техника работы с завершающим нулем, унаследованная со времен бедности (когда диды-хакеры каждый байт экономили). И правила становятся непростыми, а решения - глючными и медленными. Нет чтобы хотя бы как в паскале, выделили в языке отдельные специализированные "области памяти" и хранили рядышком с каждой кол-во символов и счетчик ссылок на строку. Ведь памяти уже не 640 килобайт. Но нет, чтобы посчитать длину строки, мы будем всю ее сканировать в поисках нуля, которого может и не быть из-за разгильдяйства, это ведь так быстро.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #23, #32

23. Сообщение от Ivan_83 (ok), 23-Май-23, 01:05 +1 +/–

Нет, правила не меняются.
Хотите абстракции - да на здоровье, ищите/пишите либу которая вам строки как угодно будет представлять и обрабатывать.
Я себе давно написал такое: https://github.com/rozhuk-im/liblcb/blob/master/include/util...
и использую это в основном на данных получаемых/отправляемых по сети/диск.
Для не частых операций со строками проще руками проконтролировать без таких абстракций.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от Аноним (24), 23-Май-23, 01:25 +/–

Debian уже пофиксил

Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (-), 23-Май-23, 01:59 +2 +/–

> "';/usr/bin/id;'' #.pdf".
Вообще-то это system() многострадальный - к си относится только тем что из си это можно использовать. Так стреляют пятки и на многих других ЯП которые вывешивают system() или сравнимый "упрощенный" интерфейс пуска программ.
И проблема тут не в си а в том что кроить упрощенному интерфейсу запуска программ параметры из передаваемых пользователем значений - дело гиблое и на этом кто только не налетал, от CGI интерфейсов на всем чем угодно до всяких питоняш и жабистов.
Общая идея атаки: если програмер вызывает внешнюю программу через подобный интерфейс и получает от пользователя на вход какие-то данные, можно попробовать оформить эти данные в виде когда "команда шелла" получится очень сильно отличной по смыслу от оригинального замысла. Вон та строка завершает параметры "слишком рано" по мнению шелла, начинает новую команду, и...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30

26. Сообщение от Аноним (26), 23-Май-23, 02:05 +/–

Код в котором встречается system() вообще особого доверия не заслуживает. Если кто видит в коде system() - есть нехилый шанс что там вулн, если параметры подконтрольны пользователю. Это касается вообще любого яп где это или нечто сравнимое есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

27. Сообщение от Аноним (27), 23-Май-23, 09:08 +/–

О, еще один. У одного "ничего никогда не падало", а у этого "никогда за пределы буфера не выходит"
Прямо слет пиноккио-программеров))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 23-Май-23, 09:13 +/–

Недостатком доступных методов для работы со строками. Жить можно, но неудобно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

29. Сообщение от Челик с гитлаба (?), 23-Май-23, 09:48 +/–

Тем, что они не позволяют адекватно сделать посимвольный проход по строке. ASCII - ок, всё остальное это боль, мучения и тонна костылей. Попробуйте просто вывести строку "ОпенNet" посимвольно и посмотрите на кракозябры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

30. Сообщение от Аноним (30), 23-Май-23, 11:36 +/–

Как будто, из самого правильного языка невозможно вызвать эту злосчастную system().

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #37

31. Сообщение от Аноним (30), 23-Май-23, 11:37 +/–

И кто его жепой в инет выставляет? Список в студию!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

32. Сообщение от Аноним (32), 23-Май-23, 11:49 +/–

>Но тут вдруг на данные простые вводные накладывается техника работы с завершающим нулем
Оу, а потом программисту поступает задача из Азии, он узнаёт про unicode, UTF-16, UTF-32,  и у него начинает подгорать про завершающий нуль. А затем подгорать в кошельке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

33. Сообщение от Аноним (30), 23-Май-23, 12:08 +/–

Вылезай! С++20 : std::u8string

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

34. Сообщение от Аноним (2), 23-Май-23, 15:16 +/–

Действительно, можно такое написать на чём угодно, но написано на Си. И все эти проблемы с санитизацией ввода растут из отсутствия вменяемых способов работы со строками в Си. Как следствие, сишники не воспринимают строки иначе, чем массив байтов. Неназванное не может быть познано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #36, #39

35. Сообщение от BorichL (ok), 23-Май-23, 15:29 –1 +/–

Тем, что большинство современных писак програмят по принципу:
"Хочу играть на гитаре, но учиться не хочу, хочу чтоб само!" (с)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

36. Сообщение от Ivan_83 (ok), 23-Май-23, 16:23 +1 +/–

Нет.
Вы сами себе придумали строки а потом жалуетесь что с ними нечем работать.
Почти все веб сервера написаны на С и как то справились с очисткой входных данных.
Есть куча всяких кодеков и пр что работает с бинарными данными и обработки там намного сложнее.
В данном случае надо смотреть, мне кажется там вообще не было смысла брать пользовательские данные, а можно было генерить рандомный уникальный идентификатор.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #40

37. Сообщение от Аноним (-), 23-Май-23, 19:38 +/–

Собственно исходники на сях имеет смысл прицельно сканировать на наличие вызова system и сильно думать насколько оно легитимно и безопасно в том или ином случае. Для сетевой программы, с параметрами от пользователя это одна из самых глупых идей. По тем же причинам шелскриптам не стоит давать параметры от недоверяемого ремотного пользователя. Слишком много специальной трактовки разных символов - и это вообще-то к шеллу, что он так работает, со стороны сей тут никаких проблем нет - что дали то и выполнили. А то что для шелла эти закорюки имели специальные значения - ну и вот при чем тут си, если это шелл вообще специальной трактовкой символов на@#$вается? Классика жанра.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #43

38. Сообщение от Аноним (-), 23-Май-23, 19:39 +/–

Он в этом случае виноват только тем что шелл вызвал. Шелл на#$%лся на хитром эскейпинге. И вопросы тут к шеллу и его синтаксису так то на самом деле. А к сишнику вопрос только "нафига это было?"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

39. Сообщение от Аноним (-), 23-Май-23, 20:12 +/–

Если вызвать шелл с вон теми закорючками из другого ЯП - результат будет тот же самый. Чем тут си виноват? Что шелл позволяет вызывать чтоли? И кто из ЯП так уж прямо заморачивается санитизацией параметров для вот именно posix shell например?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #41

40. Сообщение от Аноним (2), 23-Май-23, 20:19 +/–

> Вы сами себе придумали строки а потом жалуетесь что с ними нечем работать
Вот именно про это я и говорю: неназванное. Очень уж напоминает языки некоторых примитивных племён, где нет слов для определённых цветов и — о чудо — носители языка эти цвета не различают.
> Почти все веб сервера написаны на С и как то справились с очисткой входных данных
Ты совершенно прав, и про то, как именно справлялись с очисткой данных можно почитать в предыдущих томах этой саги.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #42

41. Сообщение от Аноним (2), 23-Май-23, 20:20 +/–

Если… Эх, вот только если… Но вызвали из Си и получили то, что получили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #45

42. Сообщение от Ivan_83 (ok), 24-Май-23, 13:19 +/–

Вы синтаксический сахар нужный для обработки строк возводите в мастхэв максимум.
На практике же всё сводится к тому чтобы найти уже готовое решение которое где то имплементировано и оттестировано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #46

43. Сообщение от Ivan_83 (ok), 24-Май-23, 13:24 +/–

А причём тут С?
Отсутствие/недостаточная фильтрация входных данных - частая болезнь в разных продуктах на разных языках.
Даже там где есть готовые функции для такой проверки/очистки - их периодически забывают вызывать.
Помимо system() нефильтрованный ввод ещё попадает в *printf*() и *SQL*() и там тоже нехило разносит всё.
Частая ошибка передавать такое в open(), все вебсервера через это проходили.
Подозреваю даже что openat() могло появится только ради этого ))))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #44

44. Сообщение от Аноним (-), 24-Май-23, 22:36 +/–

> А причём тут С?
Только при том что я его знаю, поэтому знаю что для него сканировать надо :). Вот прямо system. Лучше poison'ом его gcc'шным, или типа того. Если в программе вызовы system() есть это уже повод напрячься в общем случае. Особенно если оно что-то делает с внешними данными при этом. Легитимных и безопасных поводов для system() в коде вообще не так уж много. Шелл очень капризная пакость чтобы ему внешние данные скармливать вообще.
А как это делать в каком-нибудь ruby, java или чем там еще - пусть специалисты в них и разбираются. И, если хотят, тут и пишут.
И да, разумеется, чтобы не скучать есть еще SQL-инъекции. Или вон даже directory traversal обыкновенный. Вот тут кстати стандартизаторы подгадили - все эти ../../etc/passwd довольно канительно и грабельно отфильтровывать так то. Ну вот буквально каждый второй вебсервер норовит все и вся отсервировать по первости, например.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от Аноним (-), 24-Май-23, 22:38 +/–

Есть полно случаев когда вызывают и не из си, получая то же самое по смыслу. Вот прям таким же эксплойтом.
А си в этой схеме что предъявляется? Что он шелл запускать видите ли умеет по простому? Ну охренеть вулн :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

46. Сообщение от Аноним (-), 24-Май-23, 22:42 +/–

Интересно за какой он синтаксический сахар топит? Кто-то заморочился позатыкать проблемы шелла на уровне либы? И если да - это для каких шеллов работает? Потому что шелл так то тоже не мировая константа. А какой-нибудь bash при необдуманном вызове позволяет и еще стрельнуть по пяткам добавочными способами. Рут по DHCP подтвердит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Анонин (?), 22-Май-23, 22:50	–4 +/–
> beh.c > char scheme[1024] > '\0' Действительно, что же могло пойти не так //_-
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #17, #25

2. Сообщение от Аноним (2), 22-Май-23, 23:00	–4 +/–
Сишники и строки, том 2023, глава 24805.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #14

3. Сообщение от Аноним (3), 22-Май-23, 23:13	–4 +/–
Купс это что-то из набора штатных бэкдоров, как и гхостскрипт. Сишники тут ни при чём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от Герострат (?), 22-Май-23, 23:14	–1 +/–
Канеш ни при чём, они всегда ни при чём
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #8, #38

5. Сообщение от Герострат (?), 22-Май-23, 23:16	+/–
Я правильно понимаю, у них критическая ошибка в обработчике ошибок? 😄
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Аноним (6), 22-Май-23, 23:23	+/–
а вы думали что просто так оно жепой в интернет смотрит?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31

7. Сообщение от хрю (?), 22-Май-23, 23:51	–3 +/–
в сях (да и в плюсах) работа со строками одно мучение. Поэтому меня всегда так радуют описания нововведений в сях и плюсах, то сё, пятое десятое, а нормальной удобной стандартной библиотеки для строк нет. А уж про utf и заикаться не надо - каждый как черепашка тащит свою реализацию ... куцую и убогую.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #10, #12, #19, #33

8. Сообщение от Аноним (3), 22-Май-23, 23:53	+/–
> Канеш ни при чём, они всегда ни при чём Смотри кто автор.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #26

9. Сообщение от Аноним (3), 22-Май-23, 23:59	–3 +/–
> в сях (да и в плюсах) работа со строками одно мучение. > Поэтому меня всегда так радуют описания нововведений в сях и плюсах, то > сё, пятое десятое, а нормальной удобной стандартной библиотеки для строк нет. > А уж про utf и заикаться не надо - каждый как > черепашка тащит свою реализацию ... куцую и убогую. Есть только ICU. В принципе есть только ICU, если ты хочешь юникод. ICU не куцая, ICU блотварь. Какие твои проблемы, всё прекрасно со строками в плюсах? В си нет строк, есть asciiz, что вполне себе неплохо и эффективно на практике. Не драматизируй, это всё вопрос привычки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #13, #18

10. Сообщение от ИмяХ (?), 22-Май-23, 23:59	+2 +/–
Чем для тебя std::string и std:string_view ненормальны и неудобны?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #11, #28, #29

11. Сообщение от хрю (?), 23-Май-23, 00:13	–3 +/–
Это настолько же удобно, насколько удобны жигули. Так ездите на жигулях[/w][/w][/w] используйте std:string сами.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #16

12. Сообщение от Ivan_83 (ok), 23-Май-23, 00:21	+1 +/–
Самое очевидное на что не хватает ума хейтерам - это понять что никаких строк в С нет. Есть выделенная область памяти, есть её размер и есть размер данных в ней - вот простое правило для работы с данными которые нужно интепретировать как строки. Но в данном случае ошибка вообще про другое: данные от пользователя не достаточно проверяются/экранируются и это отдаётся в system() - те на запуск. У пхп програмистов такое сплошь и рядом встречается, хотя строки там типа совсем безопасные. В общем то на любом языке такая ошибка возможна, потому что никакой компелятор мамкиному кодеру не подскажет что надо данные полученные неведомо откуда перед вызовом system() проверять.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #15, #22

13. Сообщение от хрю (?), 23-Май-23, 00:21	+/–
>>Не драматизируй, это всё вопрос привычки. нет. это вопрос - качаешь исходники, пытаешься сделать патч, чтоб появилось что тебе надо. а фиг тебе. utf-а нет, строковых операций нет. Прымер - нужно название песни разбить по словам, первую букву поднять, остальные опустить. название песен на русском, янгл, фран, япон. языках. когда удобно, делается в пару строк. >>вполне себе неплохо и эффективно на практике. эффективно нужно там где, надо. а в других местах, должно быть удобно для программирования. какая разница сколь эффективно формируется строка запроса к капс? а по коду там огород из str func. "эффективность" во всех дырах привела к преждевременной языковой смерти :-)))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

14. Сообщение от Ivan_83 (ok), 23-Май-23, 00:23	+10 +/–
Чувак, причём тут С и строки? Автор кода получил строку по сети и отправил её в system(), не проведя никаких проверок и очисток. Можно на джаве, го, расте написать тоже самое. На пхп постоянно так делают и там SQL инекции случаются, именно это близкий аналог данной ошибки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #34

15. Сообщение от хрю (?), 23-Май-23, 00:24	+/–
> Самое очевидное на что не хватает ума хейтерам - это понять что > никаких строк в С нет. да-да. формировать текстовые строки на сях нельзя, ведь их нет. поэтому придётся извращаться на радость почитателям и формировать отсутствующие строки недо str функциями. в миллионных раз изобретая велосипед.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #21

16. Сообщение от Аноним (16), 23-Май-23, 00:26	+/–
Это не ответ на вопрос. Так чем неудобны то?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #35

17. Сообщение от Ivan_83 (ok), 23-Май-23, 00:27	+4 +/–
Так развивай мысль дальше, что там не так? scheme[0] = '\0'; strncat(scheme, uri, sizeof(scheme) - 1); вот это можно было заменить на snprintf(scheme, sizeof(scheme),"%s", uri); и всё. А исправление: https://github.com/OpenPrinting/cups-filters/commit/8f274035... оно совсем про другое.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

18. Сообщение от Аноним (18), 23-Май-23, 00:29	+/–
> есть asciiz, что вполне себе неплохо и эффективно на практике просто гомерический хохот. Особенно когда ждут заврешающие нули, переполняя буферы или когда их каждый раз ищут, чтобы длину посчитать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

19. Сообщение от YetAnotherOnanym (ok), 23-Май-23, 00:32	+/–
> а привычной для меня библиотеки для строк, как в том языке, на котором я кодил раньше, нет. Пофиксил.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

20. Сообщение от Аноним (-), 23-Май-23, 00:33	+/–
>system Что мешало через тот же which сделать ресолвер для exec*?
Ответить \| Правка \| Наверх \| Cообщить модератору

21. Сообщение от Ivan_83 (ok), 23-Май-23, 00:36	+/–
В чём претензия то? Язык низкоуровневый, если вам охота обмазыватся сахаром и не думать о таких мелочах - выбирайте другой язык. Меня лично всё устраивает, о строках я забыл лет 15 назад и счастливо живу, контролируя и размер буфера и размер данных в нём. Всякие strn*(), strlcpy() - юзаю не часто, snprintf() всё сам делает что мне надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #27

22. Сообщение от Аноним (18), 23-Май-23, 00:43	+/–
> Есть выделенная область памяти, есть её размер и есть размер данных в ней - вот простое правило Но тут вдруг на данные простые вводные накладывается техника работы с завершающим нулем, унаследованная со времен бедности (когда диды-хакеры каждый байт экономили). И правила становятся непростыми, а решения - глючными и медленными. Нет чтобы хотя бы как в паскале, выделили в языке отдельные специализированные "области памяти" и хранили рядышком с каждой кол-во символов и счетчик ссылок на строку. Ведь памяти уже не 640 килобайт. Но нет, чтобы посчитать длину строки, мы будем всю ее сканировать в поисках нуля, которого может и не быть из-за разгильдяйства, это ведь так быстро.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #23, #32

23. Сообщение от Ivan_83 (ok), 23-Май-23, 01:05	+1 +/–
Нет, правила не меняются. Хотите абстракции - да на здоровье, ищите/пишите либу которая вам строки как угодно будет представлять и обрабатывать. Я себе давно написал такое: https://github.com/rozhuk-im/liblcb/blob/master/include/util... и использую это в основном на данных получаемых/отправляемых по сети/диск. Для не частых операций со строками проще руками проконтролировать без таких абстракций.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22

24. Сообщение от Аноним (24), 23-Май-23, 01:25	+/–
Debian уже пофиксил
Ответить \| Правка \| Наверх \| Cообщить модератору

25. Сообщение от Аноним (-), 23-Май-23, 01:59	+2 +/–
> "';/usr/bin/id;'' #.pdf". Вообще-то это system() многострадальный - к си относится только тем что из си это можно использовать. Так стреляют пятки и на многих других ЯП которые вывешивают system() или сравнимый "упрощенный" интерфейс пуска программ. И проблема тут не в си а в том что кроить упрощенному интерфейсу запуска программ параметры из передаваемых пользователем значений - дело гиблое и на этом кто только не налетал, от CGI интерфейсов на всем чем угодно до всяких питоняш и жабистов. Общая идея атаки: если програмер вызывает внешнюю программу через подобный интерфейс и получает от пользователя на вход какие-то данные, можно попробовать оформить эти данные в виде когда "команда шелла" получится очень сильно отличной по смыслу от оригинального замысла. Вон та строка завершает параметры "слишком рано" по мнению шелла, начинает новую команду, и...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #30

26. Сообщение от Аноним (26), 23-Май-23, 02:05	+/–
Код в котором встречается system() вообще особого доверия не заслуживает. Если кто видит в коде system() - есть нехилый шанс что там вулн, если параметры подконтрольны пользователю. Это касается вообще любого яп где это или нечто сравнимое есть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

27. Сообщение от Аноним (27), 23-Май-23, 09:08	+/–
О, еще один. У одного "ничего никогда не падало", а у этого "никогда за пределы буфера не выходит" Прямо слет пиноккио-программеров))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 23-Май-23, 09:13	+/–
Недостатком доступных методов для работы со строками. Жить можно, но неудобно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

29. Сообщение от Челик с гитлаба (?), 23-Май-23, 09:48	+/–
Тем, что они не позволяют адекватно сделать посимвольный проход по строке. ASCII - ок, всё остальное это боль, мучения и тонна костылей. Попробуйте просто вывести строку "ОпенNet" посимвольно и посмотрите на кракозябры.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

30. Сообщение от Аноним (30), 23-Май-23, 11:36	+/–
Как будто, из самого правильного языка невозможно вызвать эту злосчастную system().
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25 Ответы: #37