Уязвимость в утилите Warpinator, позволяющая удалить файлы

27.04.2023 11:20

В Warpinator, развиваемой проектом Linux Mint утилите для шифрованного обмена файлами между двумя компьютерами, выявлена уязвимость (CVE-2023-29380), позволяющая отправителю удалить произвольные файлы на компьютере получателя. Уязвимость устранена в выпуске Warpinator 1.6.0, в котором также добавлена дополнительная защита от похожих проблем при выполнении других операций, реализованная через использование изоляции части файловой системы при помощи Landlock или Bubblewrap.

Уязвимость вызвана тем, что помимо параметров отправляемого файла программа передаёт список базовых каталогов top_dir_basenames, выставляемых относительно корневого каталога для помещения загружаемых файлов (по умолчанию ~/Warpinator). Содержимое каталогов из списка очищается во время инициализации, но элементы списка top_dir_basenames не проверяются на наличие спецсимволов, что позволяет указать в пути "../" и организовать удаление любых каталогов на стороне получателя, насколько это позволяют права доступа (например, можно удалить домашний каталог).

При запуске Warpinator в доверительном режиме операция удаления будет выполнена автоматически, в противном случае пользователю будет выведен диалог для подтверждения операции приёма файла с вызывающим подозрение сообщением. Примечательно, что в прошлом году в Warpinator уже находили похожую уязвимость (CVE-2022-4272), позволявшую создать или изменить файлы в системе. Для более общей защиты разработчикам Warpinator рекомендовано использовать более строгие технологии изоляции, такие как пространство имён точек монтирования, для блокирования выхода из базового каталога, в который осуществляется загрузка.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/59040-warpinator

Ключевые слова: warpinator, linux, mint

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (75)

1.1, Аноним (1), 11:35, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
зря со скайпа перешел(

2.62, Аноним (-), 22:39, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> зря со скайпа перешел( Слать можно по чему угодно, если это например архив с невнятным именем и паролем. А какой-нибудь 7z умеет и заголовки архива шифровать, да и пароль крякать на нем печально.

1.2, Аноним (2), 11:36, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Писали бы ее на безопасных языках, например, на питоне... oh wait...

2.53, КО (?), 19:17, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
А если был бы на Rust'е?

3.68, Аноним (68), 01:09, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
А кстати раз уж упомянули, а как(чем) проверить в Rust что указанный путь вышел за пределы рута. Помню, что была какая-то функция в APR утилсах, а тут?

3.79, Аноним (-), 18:02, 01/05/2023 [^] [^^] [^^^] [ответить]	+/–
> А если был бы на Rust'е? Тогда вообще был бы сразу Wipinator. Secure Wipinator. Они бы это вообще фичой обозвали и приделали безопасное удаление стираемых файлов.

1.3, Аноним (3), 11:54, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Warpinator - send and receive files across a local network Эм... А насколько реальна эксплуатация этой уязвимости, если тулза работает в локальной сети? Или сам факт, что злоумышленник прошел аутентификацию в сети - это ничего страшного?

2.4, Аноним (4), 11:58, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Находят уязвимости в более масштабных проектах по сетям https://www.opennet.me/opennews/art.shtml?num=58935 https://www.opennet.me/opennews/art.shtml?num=58809 неприятно, но относительно более финансируемых, на мой взгляд - пустяк

2.9, Бывалый смузихлёб (?), 12:41, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Ненуачо, ведь под предлогом недостаточной безопасности WebRTC запретили работать и получать список устройств в локальной сети вне https, а то набегут ещё ужасные люди-посредине Ну и крупные конторы сертификации с некоторых пор перестали выдавать сертификаты на локальные ip-адреса. Бонусом, так сказать

3.54, AKTEON (?), 19:33, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
ИИИ.. Джентельмены не могут пересобрать firefox ???

4.64, Аноним (-), 22:49, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> ИИИ.. Джентельмены не могут пересобрать firefox ??? Проще tox поставить. И не иметь такой проблемы как категории. Ни вам джентльменов, ни MITM, ни настройки серверов, и работает даже в локалке. Даже без интернета, если в пределах своей сетки. И ни у кого разрешений спрашивать не надо.

1.5, Аноним (5), 11:59, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Вот тебе и Linux Mint! Компенсаций пользователям как обычно не будет.

2.6, Аноним (6), 12:01, 27/04/2023 [^] [^^] [^^^] [ответить]	+6 +/–
> Компенсаций пользователям как обычно не будет. Мне положены выплаты. Где мои выплаты? Я буду жаловаться. Срочно выплаты давайте.

3.11, Аноним (5), 13:02, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Найдите ещё уязвимость и компенсируйте))

3.14, Массоны Рептилоиды (?), 13:32, 27/04/2023 [^] [^^] [^^^] [ответить]	+6 +/–
Для получения компенсации отправьте SMS на короткий номер

2.8, _RORO_ (ok), 12:36, 27/04/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Ну так и пользователи ничего за это не платили. Гораздо хуже, когда проблемы появляются в платной проприетарщине, и компенсация там тоже бывает далеко не всегда

2.10, Аноним (5), 12:42, 27/04/2023 [^] [^^] [^^^] [ответить]	–4 +/–
Пользователям Linux Mint нужно ещё доплачивать, что они пользуется таким некачественным софтом.

2.65, Аноним (-), 22:50, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Вот тебе и Linux Mint! Компенсаций пользователям как обычно не будет. Потребуй свои деньги назад, что за безобразие!

3.77, Аноним (77), 02:19, 30/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Потребуй свои деньги назад, что за безобразие! А как же моральный ущерб? Понимать надо!

1.7, Аноним (7), 12:27, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
https://www.opennet.me/opennews/art.shtml?num=43915

1.12, pashev.ru (?), 13:11, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> по умолчанию ~/Warpinator Засирающие хомяк поделки не нужны.

2.32, Амомин (?), 17:16, 27/04/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Умельцы из bumblebee с тобой полностью согласны и готовы почистить тебе не только хомяк https://github.com/MrMEEE/bumblebee-Old-and-abbandoned/issues/123

2.47, Анонус (?), 18:46, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Предпочтешь искать свои файлы где нить в /usr/local/...?

1.13, OpenEcho (?), 13:24, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пасаны и пасанки не слышали про https://snapdrop.net/ вероятно, вот и пилят

2.15, Массоны Рептилоиды (?), 13:35, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
https://localsend.org тогда уж. Для снэпдропа сервер нужен

3.50, OpenEcho (?), 18:53, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> https://localsend.org тогда уж. Для снэпдропа сервер нужен зачем, там все работает через через браузер и ничего загружать не надо

2.34, Ivan_83 (ok), 17:19, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Я юзаю варпинатор потому что есть клиент под андройд в фдройде и потому что есть клиент под линух (и я его портировал себе на фрю). Но это для больших файлов, а так же когда инета нет (например в поездках), мелкие файлы при наличии инета обычно кидаем через джаббер.

3.38, InuYasha (??), 18:19, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
так в жабе тоже через сервер, не? у меня в нём никогда передача файлов не работала - не знаю %)

4.45, Ivan_83 (ok), 18:32, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Там вроде по разному, у нас через сервер, те на всех девайсах где акк активен сразу можно получить.

3.51, OpenEcho (?), 18:55, 27/04/2023 [^] [^^] [^^^] [ответить]

+/–

> Я юзаю варпинатор потому что есть клиент под андройд в фдройде и
> потому что есть клиент под линух

снапдроп работает через браузер, не надо никаких клиентов, браузер везде есть и данные не выходят за пределы локалки все p2p

2.52, Анонус (?), 18:59, 27/04/2023 [^] [^^] [^^^] [ответить]

+/–

Unable to connect

The site could be temporarily unavailable or too busy. Try again in a few moments.
If you are unable to load any pages, check your device’s data or Wi-Fi connection.

3.61, OpenEcho (?), 22:05, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Selfhost it: https://github.com/RobinLinus/snapdrop

1.16, ip1982 (ok), 13:42, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> разработчикам Warpinator рекомендовано использовать более строгие технологии изоляции, такие как Отдельный физический сервер :)

1.17, фтщтшь (?), 13:52, 27/04/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

1.18, Аноним (18), 14:12, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какой-то пинатор там, где достаточно просто гпг дернуть и послать результат любым удобным способом. Пароль (или блокнот паролей) передать по альтернативному каналу связи или лично. Главное, не убывает желающих мокрые писечки устанавливать.

2.19, Анонус (?), 14:57, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Со смарта фото документов на ноут как грузить будешь? Будешь трахаться с openkeychain на андроиде, потом себе на почту отправлять? Кабель бегать искать?

3.20, pashev.ru (?), 14:59, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
SSH в Termux. Же.

4.21, pashev.ru (?), 15:00, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Ещё блютуз есть. Же.

4.40, InuYasha (??), 18:25, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
термукс уже джва года как не работает же, с криками на glibc, вроде.

5.58, Shevchuk (ok), 21:30, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
Это в Google Play старый, новый и обновляемый — в F-Droid.

6.63, InuYasha (??), 22:41, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
как будто я когда-либо пользовался Ploogle Gay ) Вот именно в F-droid-е его первым и поломали.

7.76, Shevchuk (ok), 17:09, 28/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
УМВР 🤷‍♂️

3.22, Аноним (3), 15:23, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Кабель бегать искать? Зачем бегать, если он всегда рядом лежит? И по нему передавать несоизмеримо быстрее, да и при передаче батарея на смарте меньше садиться. Плюс еще есть вариант с кард-ридером, который всегда в ноуте.

4.39, Анонус (?), 18:22, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
я могу в одной руке держать чашку кофе, а второй сфотать документ и отправить сабжем на ноут. а ты втыкайся вытыкайся там в юсб целыми днями

4.71, soarin (ok), 04:07, 28/04/2023 [^] [^^] [^^^] [ответить]

+/–

> Зачем бегать, если он всегда рядом лежит? И по нему передавать несоизмеримо быстрее

Нет. Сейчас обычное дело, что у смартфона в порте USB 2.0 или кабель USB 2.0.
А WiFi версии 5 или даже 7.

Второе быстрее по скорости.

3.25, Аноним (25), 15:58, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
У тебя что кабелефобия? Кабель во всех случаях всегда проще и удобнее.

3.29, nebularia (ok), 17:02, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
FTP) Куча реализаций сервера на телефоне, причём даже включённых в популярные прошивки, поднимается буквально одной кнопкой. На винде подключаться Проводником, на линухе - в зависимости от используемой DE пользователь в состоянии разобраться. Всё гениальное просто.

4.41, Анонус (?), 18:27, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
настраивать статический ip для смарта на роутере, расшаривать внутреннюю память смарта, включить шару, выискивать на ноуте фотку в этой шаре - это все оч весело, конечно, но только для красногла зых бездельн иков с обилием времени

5.44, nebularia (ok), 18:29, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Зачем статический, жамкаешь кнопочку и он тебе покажет сам адрес куда подключиться, только цифирки ввести на компе. Если тебе одну фотку передать, проще через облако или мессенджер, а если много то это вполне удобный способ.

6.46, Анонус (?), 18:39, 27/04/2023 [^] [^^] [^^^] [ответить]	–2 +/–
свои документы, без шифрования, да на чужой сервер, отличная идея! опеннетовцы удивительные

7.55, nebularia (ok), 19:42, 27/04/2023 [^] [^^] [^^^] [ответить]	+2 +/–
Шизопараноиков забыли спросить

5.78, Kuromi (ok), 17:02, 01/05/2023 [^] [^^] [^^^] [ответить]	+/–
Ну как вариант еще есть Bluetooth, но там если alt phy не рабоатет то все вообще печально по скорости, поседеть можно если файл крупный. Зато без кабеля.

3.42, InuYasha (??), 18:27, 27/04/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Лол, ты из дома без кабеля выходишь? ) Ну, давай - передавай через анимированные qr-коды с экрана на камеру. Такое есть.

3.59, Shevchuk (ok), 21:32, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Share → KDE Connect → Laptop, три тапа 🤷‍♂️

3.60, Аноним (18), 21:44, 27/04/2023 [^] [^^] [^^^] [ответить]	–1 +/–
В вотсап можно сразу послать. Один фиг твои фотки уже ТАМ видели.

3.69, Аноним (69), 01:14, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
> Со смарта фото документов на ноут как грузить будешь? KDE Connect или Syncthing

2.30, Амомин (?), 17:11, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Ну вот поэтому ляпикс на десктопе в глубокой попе, что есть такие чудаки на букву м верящие что для задачи «скинуть фотку с телефона чтобы что-то с ней на компьютере сделать» кто-то будет мудохаться с gpg чтоб протолкнуть в отнюдь нерезиновый мессенджер самому себе (или почту) На опеннет стоит заглядывать только ради вот такой охинеи

3.48, Аноним (48), 18:49, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Syncthing! Фоткаю, пока иду к ноутбуку, оно уже там ;)

4.49, Анонус (?), 18:52, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
не оч вариант, тк придется либо расшаривать всю папку с фото со смарта, либо перемещать файл в шару

5.75, Аноним (75), 16:09, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
Со всех сторон конечно не очень хорошо. Но, + бекап, + посмотрел на компе в хорошем качестве, не радует качество удалил, на смарте тоже удалился. Меньше запарок.

1.23, xrensgory (ok), 15:38, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Это uucp на смузях ? xD

1.24, Аноним (25), 15:57, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А вот если бы писали на модули-2 то полетели бы в космос.

1.26, Аноним (26), 16:07, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
warp w 596 p v - искривиться сноваться ссохнуться ссыхаться извращать в... большой текст свёрнут, показать

2.43, InuYasha (??), 18:29, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
а ещё Каиба.

2.67, Аноним (67), 23:31, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
> сделать счастливым Шах и мат, последователи Императора!

1.28, Аноним (28), 16:57, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Детская ошибка. Есть стандартное правило. Не оправлять ОСи напрямую то, что шлет другая сторона, а парсить это самому. И никакие изоляции не понадобятся.

2.56, Аноним (56), 21:10, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Парсить самому - верный способ забыть что-то в процессе парса, какие-нибудь спецсимволы и т д.

3.74, Аноним (28), 09:36, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
Не, протокол твой, а значит тебе решать, что можно передавать, а что нет.

1.31, Аноним123 (?), 17:13, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Что люди не делают лишь бы SSH не использовать

2.72, _ (??), 04:42, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
чтобы его юзать тоже чего только не делают, на вот внизу - смузикам понравится, всё ж цветное :) https://github.com/charmbracelet/soft-serve

3.73, _ (??), 04:44, 28/04/2023 [^] [^^] [^^^] [ответить]	+/–
или сразу: ssh git.charm.sh -t soft-serve

1.35, жявамэн (ok), 17:21, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
что это такое вообще лол

2.57, Аноним (56), 21:11, 27/04/2023 [^] [^^] [^^^] [ответить]	+/–
Это линукс.

1.36, Амомин (?), 17:26, 27/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А оно в минте интегрировано как положено (правым кликом на любом файле или папке в ихнем проводнике наутилусе и через меню Share в программках без лишней цепочки «запусти программу - найди в ней кнопку отправить - вспомни где файл - забудь че ты вообще хочешь и пойди купи макбук наконец-то») или как всегда тяп ляп?

2.37, Анонус (?), 18:19, 27/04/2023 [^] [^^] [^^^] [ответить]	+1 +/–
тяп ляп

1.70, Аноним (70), 01:24, 28/04/2023 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я не очень умный и не понимаю зачем это нужно, когда есть scp, ssh, rsync?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: