| |
| |
| 3.17, Аноним (17), 11:57, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Например, настройка allowFontOps=false выставляется в OpenBSD, Debian и RHEL
А вот и фиг, не сработает у них. Специальный CVE для поимения особо невезучих адептов специальной олимпиады с арчиком которые установили весь букет.
| | |
| |
| |
| 5.27, Аноним (-), 12:22, 12/11/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
На это видимо и расчитано. Как пользоваться системой в которой ничего не работает? Хитрый план!
| | |
|
|
|
| |
| 3.51, Аноним (51), 16:41, 12/11/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
Тоже поржал, дойдя до этого места:
> может быть завершена последовательностью "^G", которая в zsh при активности режима редактирования строк в стиле vi приводит к выполнению операции раскрытия списка, что может использоваться для запуска команд без явного нажатия клавиши Enter
Итого нам надо:
- zsh
- активный режим редактирования строк в стиле vi
- скопировать текст трояна в буфер
- вставить его в zsh
| | |
| |
| 4.57, Аноним (57), 18:56, 12/11/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это может быть сделано автоматически, многие сайты модифицируют текст при копировании его в буфер обмена. Поэтому я использую только буфер выделения, в который браузеры не лезут. Только его в гтк3 и у фф в частности постоянно ломают почему-то, это утомительно.
| | |
| |
| 5.59, Аноним (51), 19:37, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> многие сайты ...
Странно копировать что-то с веба и тут же вставлять в консоль... Это как curl | sh, например.
| | |
| |
| 6.61, Аноним (57), 19:42, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну, не совсем. Если ты только что прочитал код и он тебя устраивает, то ничего странного. Не будешь же ты каждый однострочник копировать на диск. А вот с curl | sh там сервер это задетектит и что угодно может отдать, ты не проверяешь, что он отдаёт.
| | |
| |
| 7.73, Аноним (51), 21:12, 12/11/2022 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> прочитал код и он тебя устраивает
как минимум скопирую в блокнот, чтобы не подцепить всякую хтмл-разметку и особенно "ентер"-ы, которые "нажимают" команду в самый неподходящий момент.
| | |
| |
| 8.86, y (??), 01:55, 13/11/2022 [^] [^^] [^^^] [ответить] | –4 +/– | а еще молится богу-императору, каждое воскресение ходить на исповедь в церковь и... текст свёрнут, показать | | |
|
|
|
|
| |
| 5.60, Аноним (51), 19:38, 12/11/2022 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> и нашёл эту уязвимость
Я нашёл уязвимость виндовз, скачав ya-trojan.exe и запустив его.
| | |
|
| 4.103, Michael Shigorin (ok), 21:09, 15/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
 > Итого нам надо:
> - zsh
> - активный режим редактирования строк в стиле vi
> - скопировать текст трояна в буфер
> - вставить его в
xterm с allowFontOps=true.
Справедливости ради, это апстримное умолчание -- так что[CODE]echo "XTerm*allowFontOps: false" >> ~/.Xresources && xrdb -merge ~/.Xresources[/CODE]-- если в дистрибутиве не сделано:[CODE]e801-1:~> grep allowFont /etc/X11/app-defaults/XTerm
!*allowFontOps: false[/CODE]
| | |
|
| 3.74, ыы (?), 21:25, 12/11/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы просто не в теме. Есть ПО для которого этот шелл входит в обязательные зависимости...
| | |
| |
| 4.83, Аноним (51), 01:02, 13/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Есть ПО
Например? И чтобы в этом ПО юзер вставлял всякие левые строчки мз буфера. И ещё чтобы тот шелл исполнялся в xterm с vi.
| | |
| 4.89, Аноним (-), 04:15, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это видимо какое-то довольно экзотичное по которое мне никогда не попадалось.
| | |
|
|
|
| |
| |
| 3.9, Аноним (9), 11:28, 12/11/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Та неужели непонятно что раст сделали инопланетяне? Посмотри на его синтаксис. Именно потому он и идеален.
| | |
| 3.28, Без аргументов (?), 12:25, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Часть расщепленного белого света. А вот кто вбрасывает для набрасывания -- это ещё один вопрос.
| | |
| 3.62, Аноним (51), 19:43, 12/11/2022 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> Кто тогда сделал раст?
Давай логически подумай... У тебя есть два высказывания:
1. Человек не может сделать совершенное.
2. Раст написали какие-то человеки.
Вывод: либо раст не совершенен, либо второе предложение не верно. Раз ты делаешь допущение, что раст - совершенен, но ты автоматически объявляешь растаманов нечеловеками.
| | |
| |
| 4.76, ыы (?), 21:41, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– | |
типичная логическая безграмотность.
эти леммы не описывают все возможные ситуации.
например они не исключают что даже если один человек не может, то человеки (во множественном числе) - может и могут.
| | |
| |
| 5.80, Аноним (51), 22:54, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> может
а может и нет. Как и само понятие "совершенства" у растаманов сугубо субъективное.
| | |
|
|
|
| 2.94, Аноним (94), 10:06, 13/11/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
А как же раст сказали что это средство от всех болезней, даже от облысения. Неужели и тут соврали?
| | |
|
| 1.10, Аноним (10), 11:29, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
> xterm
> vi
один древний хлам коряво взаимодействует с другим древним хламом...
ой, как же такое произошло?!
| | |
| 1.12, pashev.ru (?), 11:45, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Для успешной эксплуатации уязвимости пользователь должен использовать командную оболочку Zsh, а параметр $EDITOR должен быть установлен в значение "vi"
Два раза мимо )
| | |
| 1.14, Аноним (-), 11:52, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> должен использовать командную оболочку Zsh,
> а параметр $EDITOR должен быть установлен в значение "vi"
А набирающий это должен ритуальный танец станцевать, тогда может и сработает.
| | |
| 1.18, Аноним (18), 11:58, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кто-то пользуется xterm'ом вместо того, чтобы сразу поставить, например, urxvt?
Оно же корявое и страшное (поправьте если не так)
| | |
| |
| 2.25, arisu (ok), 12:18, 12/11/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Оно же корявое и страшное (поправьте если не так)
попробуй почитать ман и настроить. кота попроси, если сам не можешь.
| | |
| 2.31, Айноним (?), 12:42, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Оно не корявое, в нем много лишнего и ненужного для сегодняшнего пользователя. А настраивается в нем все легко, все есть в мануале.
| | |
| 2.68, Аноним (68), 19:57, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Xterm — один из весьма немногих терминалов, который может вставить 20…50 мегабайт из буфера обмена на модемном линке и не подавиться. Но за пределами этой весьма узкой ниши он действительно не самый лучший выбор.
| | |
| 2.105, Michael Shigorin (ok), 21:19, 15/11/2022 [^] [^^] [^^^] [ответить]
| +/– | |
Перебрался с aterm/rxvt на xterm, как только разжился достаточным объёмом свопа лет двадцать с чем-то назад!1
(шютка на тему одной из расшифровок сокращения emacs, ага -- но ведь и впрямь перебрался, только из-за более живого и полезного terminfo; затем оказалось, что Alt-Enter в xterm очень сильно помогает отстраняться от лишних сведений на экране)
| | |
|
| |
| 2.33, Айноним (?), 12:47, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вэбмакаки на смузикатах конечно же как всегда в абсолютной безопасности
| | |
| |
| 3.45, Аноним (-), 15:54, 12/11/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Они просто не пробовали кодить что-нибудь типа терминалки. Поэтому не в курсе масштаба задницы.
| | |
|
| 2.77, ыы (?), 21:43, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
никакой связи. достаточно чтобы он был просто установлен в системе. а это подавляющее число хостов.
| | |
| |
| 3.106, Michael Shigorin (ok), 21:21, 15/11/2022 [^] [^^] [^^^] [ответить]
| +/– | |
При чём тут vi?!
Читающие и не читающие, чушь-то не несите. Речь про один из режимов ввода _самого шелла_.
Гляньте (даже читать необязательно, но шоб хоть ниточка в голове образовалась) вывод man bash | grep emacs- или vi-
| | |
|
|
| 1.20, FrBrGeorge (ok), 12:10, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 В новости (причём в самом сообщении об уязвимости), кажется, ошибка. Взаимоисключающие параграфы как минимум.
Не редактор должен быть vi, а line editing mode, то есть _редактор командной строки_ должен быть переведён в vi-подобный режим. Переменная $EDITOR тут ни при чём (как и сам редактор), в zsh это переключается настройкой ZLE vi-cmd-mode. Кстати, режим по умолчанию — это emacs-cmd-mode.
| | |
| |
| 2.78, ыы (?), 21:46, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
а этот режим самодостаточен? он активируется без необходимости иметь библиотеки от vi?
| | |
| 2.107, Michael Shigorin (ok), 21:22, 15/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Гоша, спасибо за поправку, сборку xterm 375 в сизиф (уже в sisyphus_e2k) и то, что allowFontOps в альте выставлено из коробки в false.
| | |
|
| 1.32, Аноним (32), 12:46, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
xterm по дефолту даже не установлен в убунточке и там божественный терминал гнома и vim если и пользуются, то vim-basic
Нет уязвимости вообщем
| | |
| |
| 2.41, анонна (?), 14:45, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
не туда копаете парни. там аж три места где лажа. причем три места из 2. во первых стандарт во всех дистрах это bash. во вторых xterm. ну это тоже редкость будет, ну и плюс особый режим работы редактора zsh. это как нужно повезти , чтоб нарваться на такую сборку линя. я не исключаю , что быть может..... короче надейся и жди))
| | |
| |
| 3.79, ыы (?), 21:47, 12/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вы просто не в теме. Есть ПО для которого этот шелл входит в обязательные зависимости...
| | |
| |
| 4.96, анонна (?), 13:38, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
действительно не совсем в теме. я больше в сторону инженерки и что с этим связано. а линукс и свободное пол типа хобби.
| | |
|
|
| 2.44, Аноним (-), 15:53, 12/11/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Боюсь, *никсные терминалы и все что вокруг этого одинаково граюбельны на любом ЯП. Вы просто не пробовали это кодить.
| | |
|
| |
| 2.90, Аноним (90), 04:17, 13/11/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Все как обычно с линуксной малварью. Но десятку неудачников с арчем точно хана! Если конечно их удастся найти в этой толпени.
| | |
|
| 1.71, 4eburashk (ok), 20:23, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Это еще надо умудриться найти того, кто пользуется xterm, да еще и zsh в этом xterm да еще и заставить его выполнить код с очевидной командой?
Сразу напрямую спросить пароль рута - больше шансов эксплойта. =)
| | |
| |
| 2.99, Аноним (99), 21:54, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
Не обязательно запускать од, иожно сделать cat из специально подготовленного файла. Например, user agent из логов веб-сервера.
| | |
| |
| 3.100, arisu (ok), 21:58, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
но зачем ты используешь веб-сервер, котрый не фильтрует мусор в логах?
| | |
|
|
| 1.72, pin (??), 21:04, 12/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> командную оболочку Zsh с переведённым в режим "vi" + xterm
Джекпот. Прямо мой случай.
| | |
| |
| 2.75, Аноним (57), 21:38, 12/11/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Таких пол интернета, теперь каждому приз? Хотя я отказался от zsh, слишком уж массивы неудобные в нём.
| | |
| |
| |
| 4.85, Аноним (57), 01:34, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
В баше ок. Хештейблы немного ограниченные, но жить можно. Массивы прямо совсем ок работать с ними, практически нормальный ЯП.
| | |
|
| |
| 4.97, Аноним (57), 16:30, 13/11/2022 [^] [^^] [^^^] [ответить]
| +/– | |
> Как только появляются масивы, уже не до *sh.
Массивы удобны чтобы банально передать произвольное число аргументов запускаемой программе. А чтобы ими управлять удобнее когда по имени можно получить доступ к элементу.
| | |
|
|
|
| |
| 2.110, mos87 (ok), 08:48, 16/11/2022 [^] [^^] [^^^] [ответить]
| +/– |
 > А что такое случилось в 1999м?
xterm случился (zsh воены пошли в школу)
| | |
|
| 1.109, mos87 (ok), 08:46, 16/11/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Для успешной эксплуатации уязвимости пользователь должен использовать командную оболочку Zsh
ну, вы понели.
(так-то это должно быть в заголовке новости)
| | |
|
