В пакете Apport (https://wiki.ubuntu.com/Apport), применяемом в Ubuntu Linux для автоматизации обработки крахов приложений, выявлена (https://donncha.is/2016/12/compromising-ubuntu-desktop/) критическая уязвимоcть, позволяющая организовать выполнение кода от имени текущего пользователя, а при определённых условиях под пользователем root. Проблема проявляется в Desktop-редакциях дистрибутива Ubuntu начиная с выпуска 12.10 и исправлена в недавно опубликованном обновлении (https://www.ubuntu.com/usn/usn-3157-1/) пакета Apport.
Apport перехватывает сведения о крахе приложения, в том числе автоматически вызывается при возникновении исключительных ситуаций в скриптах на языке Python и отслеживает сбои во время установки пакетов, подготавливает информацию об условиях в момент сбоя. Отчёт о крахе сохраняется в текстовых файлах с расширением ".crash", при наличии которых вызывается специальная утилита, выводящая на экран диалог с предложением отправить отчёт разработчикам Ubuntu. Ошибка в коде разбора файлов crash позволяет осуществить подстановку кода на языке python.Для демонстрации уязвимости можно записать в файл c расширением .crash следующий текст, при обработке которого будет выполнен запуск калькулятора:
ProblemType: Bug
ExecutablePath: /usr/bin/file-roller
Stacktrace:
None
CrashDB: {'impl': 'memory', 'crash_config': exec("""
import subprocess
payload_cmd = "pkill -9 apport; gnome-calculator"
subprocess.Popen(payload_cmd, shell=True)
""", {}) }Для генерации произвольных эксплоитов подготовлен специальный инструментарий (https://github.com/DonnchaC/ubuntu-apport-exploitation/tree/...). Для эксплуатации уязвимости необходимо добиться открытия данного файла в обработчике Apport, что можно сделать несколькими путями. Например, так как apport-gtk зарегистрирован для обработки MIME-типа "text/x-apport, достаточно открыть файл с расширением .crash в файловом менеджере. Кроме того, обработчик вызывается для всех файлов не имеющих MIME-привязки к расширению, начинающихся со стороки "ProblemType: ", т.е. можно записать эксплоит в файл с любым неизвестным системе расширением, например zip, и разместить его на сайте. Применив методы
социальной инженерии, можно добиться загрузки этого файла пользователем. Как только файл будет сохранён и пользователь попытается кликнуть на нём файловом менеджере для просмотра содержимого - будет активирован обработчик Apport, что приведёт к эксплуатации уязвимости.Второй вариант атаки позволяет добиться локальным пользователем выполнения кода с правами root. Если сохранить файл с расширением .crash в директории /var/crash (доступна на запись всем пользователям), он будет автоматически обработан. При этом если файл сохранён под идентификатором пользователя меньше 500, то обработка будет выполнена с правами root. В качестве одного из методов записи файла с uid меньше 500 предлагается использовать доступную в mysql возможность сохранения таблицы в произвольной директории ("SELECT INTO ... OUTFILE") или организовать запись чрез web-скрипт, выполняемый от пользователя www-data.
При входе пользователя в систему, для подобных crash-файлов вызывается процесс apport-crashreports, который запрашивает через PolicyKit выполнение действий с правами root. Выводимый диалог лишь уведомляет от возникновении проблемы в системном приложении и предлагает отправить разработчикам отчёт, не детализируя о каком приложении идёт речь. Если пользователь согласится с предложением отправить отчёт, то эксплоит будет выполнен в системе с правами root.
URL: https://donncha.is/2016/12/compromising-ubuntu-desktop/
Новость: http://www.opennet.me/opennews/art.shtml?num=45716
Такое чувство, что на Линукс пошла массированная информационная атака, направленная на уничижение его главного достоинства - безопасность. Регулярно исправляются уязвимости, даже серьёзные, это нормально и продвинутым юзерам известно, но так громко про них орут только вот в последние месяцы. У меня паранойя или кто-то за это платит?
Просто раньше эти уязвимости никто не искал. Хорошо хоть находят и исправляют.
> Просто раньше эти уязвимости никто не искал. Хорошо хоть находят и исправляют.Ты невнимательно прочитал пост - там написано, что "...Регулярно исправляются уязвимости, даже серьёзные, это нормально и продвинутым юзерам известно, но так громко про них орут только вот в последние месяцы..."
Т.е. речь о поднимаемом шуме...
Уязвимости исправляются постоянно, в этом нет ничего необычного. Люди могут начать это замечать только, если в первых постах писать про паранойю по поводу участившихся исправлений уязвимостей. Человеческий мозг устроен так, что в потоке данных он сможет замечать какие-то постоянно повторяющиеся данные только, если на них обратить его внимание. Но он не сможет провести правильную оценку ситуации, потому как раньше он тех же данных не замечал. И в итоге создаётся ощущение, что стало происходить то, чего раньше не было. При этом если провести эксперимент и разделить людей на две группы, одной из которой давать на чтение поток новостей, а второй давать возможность читать комментарии к этим новостям, то у второй группы может даже развиться теория заговора. Поэтому считаю, что лучше в комментариях писать полезную и проверяемую информацию, чем высказывать личные мнения.
> Люди могут начать это замечать только, если в первых постах писать про паранойю по поводу участившихся исправлений уязвимостей.Не только.
1. Люди замечают вещи, которые уже укрепились в памяти или часто повторяются.
2. Люди склонны замечать и запоминать скорее особенные, причудливые и смешные образы, чем непричудливые или несмешные.
3. Люди склонны замечать изменения.
4. Людей притягивает информация, которая подтверждает их убеждения.
5. Люди склонны лучше замечать ошибки у других, чем у себя.
У тебя паранойя, да. Уязвимости обнаруживаются регулярно.
Но добавляют их быстрее.
Вы невнимательно читаете автора. Перечитайте то сообщение, на которое отвечаете.
А зачем? Гораздо проще писать всякую чушь не к месту.
Просто сегодня становится модным называть уязвимостями то, что раньше никто так не расценивал. Этот момент особенно хорошо подчёркивает пример с bash'ем, который был какое-то время назад. Многие годы это был просто дополнительный функционал, а потом кто-то начал вопить: "Уязвимость! Уязвимость!". И пропатчили поломав совместимость с этой фичей. Как ещё на этой волне fork(), exec*() и system() из glibc не выпилили - непонятно.
Т.е. исправляя незначительную ошибку, они допустили критическую ошибку. Ожидаемо. Уровень квалификации там чуть выше плинтуса.
Подняв историю я обнаружил то, на что сослался выше. Выше я говорил про т.н. "Shellshock". По сути это был обычный функционал, который никто и не думал считать уязвимостью. А потом началось... "Критическая уязвимость! Критическая уязвимость!"...
Разработчики недооценили важность, специалисты по безопасности указали им на ошибку. Неприятно когда тебя как котёнка в собственное д--рьмо носом тычут. Но нужно не отмазываться, а исправлять.
А я говорю о том, что само понятие секурности постоянно переосмысливается по мере разрастания сетей. Раньше, когда не было больших сетей, хакеры (в классическом понимании этого слова) вообще не спешили реализовывать права и пароли чтобы не давать в руки администраторов те инструменты, с помощью которых они контролировали бы их. А когда начались первые подвижки в эту сторону и пароли таки были реализованы, то чтобы освободиться от тирании администраторов люди сбрасывали свои и чужие пароли на пустые и просили людей не нарушать эту традицию. Там все были свои и всё было прекрасно. На своём локалхосте без всяких SSH тоже всё прекрасно и сегодня. А вот в интернете уже есть злоумышленники, которые могут пытаться поломать разного рода роутеры и сервера. Ну и заодно десктопы какими-то путями.
А я говорю, что разработчики за короткое время успели заложили всё поле "минами", в которые их сейчас тыкают носом.
Ну так если понятие секурности постоянно переосмысливается, то сложно разрабатывать сложные проекты, которые и завтра соответствовали бы новому представлению о секурности. Сегодня, да, "мина", а вчера - ещё нет.
Если заложить всё поле "минами" в них кто-нибудь наступит. И в именно в этот момент для него наступит "переосмысление".
Нет. Суть в том, что сейчас активно огораживают юзеров. Потому, что все "уязвимости" именно в пространстве пользователя. Всё, что может запускать новые процессы, сразу объявляется потенциально опасным. В этом смысле абсолютно секурная система - это система именно без fork(), exec*() и system() в библиотеках. Процессы программ заворачиваются в образ, который просто разворачивается в оперативку. И так и работает без возможности запустить что-либо ещё. Это направление очень похоже на идеи Chrome OS (хотя именно она, по ходу, этой планки ещё и не достигла; но, всё впереди). Сначала запихнуть всё в браузер-комбайн, а потом оставить в системе только его. И пусть юзер гоняет веб-приложения во вкладках, которые огорожены от базовой системы.
>>Суть в том, что сейчас активно огораживают юзеров.Ну вот такой к примеру юзкейс, загипнотизирую юзера, а он запустит вредоносное ПО, где тут уязвимость? - правильно - человек )
Да понятно, что человеческий фактор не на последнем месте. Но, тем не менее,... Все эти заборы могут только мешаться. Поэтому давно уже пора прекратить пилить все дистрибутивы исключительно в одном направлении. Пусть будут дистрибутивы для домашнего и серверного применения с кучей защит от дурака, никто не возражает. Но, должны оставаться и более архитектурно простые дистрибутивы, которые позволяли бы без проблем выстрелить в ногу тысячами разных способов. Может там и не нога, а в манипуляторе совсем не огнестрельное оружие.
Так сейчас, по-моему, вообще нет НИКАКИХ разработок - даже софта, не говоря о дистрибутивах - направленных на продвинутого пользователя. И это бесит, да.
Есть, но мало. Из дистрибутивов есть те же Slackware, Gentoo, Crux и LFS.
Гента - ну... может быть. Слака и LFS - это для тех, кто хочет глубоко разобраться в системе, но не для удобного пользования. Crux - не знаю.Продвинутый пользователь в моём понимании - это тот, кто может и хочет в общих чертах контролировать происходящее в системе, кастомизирует её, занимается какой-то автоматизацией (скрипты те же) - но всё же система для него - это всего лишь средство решения каких-то своих задач. LFS в это ну никак не укладывается.
Гента - лучше, но с ней всё же больше мороки, чем хотелось бы, особенно при обновлениях - решаемой, да, но всё же.
>Продвинутый пользователь в моём понимании - это тот, кто может и хочет в общих чертах контролировать происходящее в системе, кастомизирует её, занимается какой-то автоматизацией (скрипты те же) - но всё же система для него - это всего лишь средство решения каких-то своих задач. LFS в это ну никак не укладывается.Зависит от масштабов задач. А так Slackware в это вполне укладывается. Crux, теоретически, тоже. Никогда его не ставил, но читал про него.
> Есть, но мало. Из дистрибутивов есть те же Slackware, Gentoo, Crux и LFS.Про Crux не знаю, а LFS и Slackware/Gentoo, по наблюдениям, приводят к совсем разным пользователям: попадающиеся LFS-ники обычно действительно знают, зачем тратят своё время именно так -- а вот слакваристы с гентушниками _грамотные_ попадаются крайне редко (грамотных слакваристов лично знал целых двух, один давно свалил на дебиан).
Разве если прячутся...
>>Пусть будут дистрибутивы для домашнего и серверного применения с кучей защит от дурака, никто не возражает.тока приветствую, нуно затачиваться, не делать ОС (а если делать её, как выше в коменте упомянули про всякие fork, system и тд., то не нуно жаловаться, что её можно ногу простреллить), а что-то вроде борт программы. Таже идея с микро кернелом - хороша, но боюсь опять начнётся холивар на эти темы.
пс: человек - уязвимость!!!
При достаточном разнообразии софта и компетентности операторов - ни хрена он не уязвимость. А речь шла как раз о том, что не надо пытаться всё делить на суперзащищённые серверы и системы для домохозяек - другие варианты тоже возможны.
как так не делить? разве домохозайка на кухне и физик в ядерной лаборатории это две одинаковые области, с одинаковыми мерами соблюдения безопасности?Продукты ширпотребы обязаны быть безопасными. Кто-то отравил чан с молоком на заводе, и пол района отравилось - не уязвимость?
Мамкин кулхацкер требует простых незащищенных систем!
Есть разница между совсем незащищёнными и неогороженными. Если какие-то проверки проходят где-то в фоне совершенно не меняя того, что юзер может делать со своей системой, - это одно. И совсем другое когда юзеру начинают отрубать инструменты, поскольку они объявляются потенциальными уязвимостями.
> Но, должны оставаться и более архитектурно простые дистрибутивы, которые
> позволяли бы без проблем выстрелить в ногу тысячами разных способов.кто у тебя рута то отнимает ? что такое "дистрибутив из коробки позволяющий стрелять в ногу" ??? сделай su и стреляй, блин
а все дистрибутивы должны быть анально огорожены изначально (кроме тех типо которые на калькулятор ставятся, не имеют как возможности так и необходимости и вообще может не имеют юзера кроме рута)
Читайте внимательнее. Речь не о том, что, якобы, отбирают рута, а о том, что огораживают _всех_, в т.ч. и рутов. Постоянно уменьшается кол-во возможностей, а особенно по запуску внешних процессов. Они бы ещё $() и `` из bash'а выпилили, а то это какие-то полумеры. Тот же systemd и у root'а отбирает низкоуровневый контроль процесса загрузки, включая /etc/inittab . Ну и т.д.
То что ты считаешь "фичей" является ошибкой, которой не должно быть, и если ты не догадался гадить с её помощью другим, то это не значит что остальные такие же.
Гадить можно с помощью много чего, но это не значит, что, якобы, у юзеров нужно почти всё поотбирать.
Убунту != Линукс
Правильно, ведь Убунту - это операционная система, а Линукс - это только ядро.
ядро это и есть операционная система.
Операционная система включает в себя не только ядро. Например, Linux - ядро, а GNU/Linux - это операционная система GNU с ядром Linux.
Не про то, я имел в виду, что найденный баг - специфичен для Убунты, а не для экосистемы Линукс в целом. Если, конечно, Убунта уже не рассматривается вообще как синоним экосистемы Линукса, может я уже отстал от жизни?
1. нет
2. да, за это платят
3. тот факт что предложили купить такой очевидный эксплоит, это тоже прикол какой то
4. в винду патчи тоже прилетают не хило так, а уж последняя 10ка это вообще rolling buggin $hit release покруче любого linux rolling дистра...
5. хз, я сижу и буду сидеть на xubuntu, debian...если бы этот чувак порылся в других дистрах на тему безопасности всяких opensuse yast, RHEL и прочего, он тоже обнаружил бы много чего интересного. (да и предыдущий пентестер тоже).
6. кому не нравится давно выкосил apport и прочие avahi нафиг из системы.
Тоже обращаю внимание, что в последний год о уязвимостях написали больше наверное чем за 10 лет прошлых.
Линукс стали активнее использовать - пошли аудиты безопасности - посыпались уязвимости,в том числе дурацкие, которые находить ,имея исходники, куда проще чем в виндах. Ожидаемо? да.
> У меня паранойя или кто-то за это платит?И то и то, я думаю. Зачем, собственно, кому-то за это платить? GNU/Linux с серверов и супер-компьютеров всё равно никуда не уйдёт.
> массированная информационная атакаСделайте паузу, прекратите читать новости, особенно советские^W российские газеты. Вам тогда сразу прекратят мещерится на всех углах информационные войны.
Потрепали Трампа по волосам? :)
Я говорю, прекратите читать газеты. Это плохо сказывается на вашей психике.
а если закрыть глаза, то и вовсе вокруг ничего не происходит — темнота, да и только
Думай прежде чем говорить. Лучше вообще не говори: думать полезнее.
Чтобы не растекаться мыслею по древу, излагая тебе то, до чего ты сам мог бы додуматься, если бы не читал советских газет, я тебе лучше ссылку дам: http://highexistence.com/why-you-should-avoid-the-news/
Безопасность она в мозгах программера и архитектора приложения. Если же этим занимаются чайники полные, то и результат соответствующий.
На самом деле это детектор. Тут на лицо рост популярности Линукс не только как серверной ОС, но и как десктопной. Убунтовцы молодцы привлекли внимание масс.
А уязвимости, да, это плохо, но они всегда есть. Никакой код не идеален.
Кто-то когда-то давно проводил сравнение проприетарщины и открытого кода. Вроде и на опеннете было. Не помню, кто оказался в выигрыше, но помню, что разница была не существенна. Может у кого-то остался линк?> главного достоинства - безопасность
Ой, ну вот только давайте без вот этого. У Линукса множество других "главных" достоинств, например открытость. А безопасность, по большей части, зависит от пользователя/админа. Если люди выключили фаервол и поставили пароль 123 на рута с открытым 22-м портом, то никакие достоинства Линукс не позволят им обрести безопасность.
Новость почитайте. Там же написано про социальную инженерию, пользователь сам должен установить и запустить файл соответствующего MIME-типа. То есть максимум, что можно сделать - подсунуть пользователю "трояна", а таким способом всё что угодно можно подсунуть, если пользователь доверчив.
> А безопасность, по большей части, зависит от пользователя/админа.Да, как и под любой другой ОС
> А уязвимости, да, это плохо, но они всегда есть.Распространенное заблуждение.
>> А уязвимости, да, это плохо, но они всегда есть.
> Распространенное заблуждение.развейте вашу мысль, пожалуйста, каково же реальное положение вещей и где не "самозарождаются" уязвимости ? (без теории о идеальных специалистах и админах, интересуют технические средства или методологии)
> А уязвимости, да, это плохо, но они всегда есть. Никакой код не идеален.Вот только есть детские, при этом по классическим шаблонам (недоверенный ввод, исполнение кода из данных, автоматические повышение привилегий вместо передачи того-что-с-uid-меньше-500 какому-нить да хотя бы nobody, а лучше выделенному псевдопользователю).
Уж насколько я "ненастоящий сварщик", а такое как-то хватает мозгов соображать.
> Линукс пошла массированная информационная атака, направленная на уничижение его главного достоинства - безопасностьНу так ты не путай понятия. Линукс - это понятие размытое.
И за частую то, что написано для десктопа вообще написано на коленке. Про секурность в таких случаях думают в последнюю очередь. Да и смысла особого нет - никто особо не будет искать уязвимости, а так же их использовать в каком-нибудь nepomuK, которым пользуются 0.2% пользователей.
А секурность просто так не получается. Это надо знать всякие приемчики, чтоб пентест проводил обязательно сторонний человек - все это ресурсы требует.
Ну а если у тебя через раз плазма падает, то всяко уж не до секурного аудита.
PS: извиняюсь за возможное пригорание у КДЕшников, рассказано образно. Название можете мысленно заменить
Linux неуязвим же! Ребят расходимся...
> но так громко про них орут только вот в последние месяцыТакое чувтство, что ты в интернете только последние месяцы, а до этого было где-нибудь в чебурашке.
Эта атака на здравый смысл и платит за это копроэкономическое общество. Постмодерн, будь он неладен. Раньше как было: если ты идиот и внезапно покалечился или не дай бог умер из-за этого — тебя пожалеют и скажут: "ну что же с него взять — идиот" и благополучно забудут. А теперь если ты идиот и покалечился по своей вине, то воены разных мастей будут громко орать, что проклятые <подставить любую группу людей> мешают жить альтернативно-одарённым людям и тут же предложат что-нибудь запретить (причём запрещаемый объект может быть вообще не связан с инвалидностью идиота). А всё это почему? Потому что крикуны хотят есть, а работать — нет. Ну и на крикунов тоже находится покупатель, который совершенно случайно оказывается заинтересован в запрещении. Так и живём — холим и лелеим идиотов, наносим ущерб здоровому обществу. Многие могут упрекнуть меня: сказать, что это только в проклятых штатах такой разгул sjw и вообще линчуют, но я отвечу: нет! в многострадальной всё точно так же. У них негры — у нас дети, у них sjw у нас казаки и прочие верующие. Как аргумент спорщикам предлагаю ответить на вопрос: какую вредную для детей информацию несёт ресурс LinkedIn и почему именно ресурс о работе неугодил? И вот уже легендарное "ну тупые" звучит как-то ближе и роднее, да и смеха убавляется.
> Как аргумент спорщикам предлагаю ответить на вопрос: какую вредную для детей
> информацию несёт ресурс LinkedIn и почему именно ресурс о работе неугодил?Поскольку Вы, видимо, "неверующий" -- предложу изучить для начала тему самостоятельно, Вы наверняка справитесь. Ключевыми словами помочь могу, но вдруг обидитесь за тривиальность :-)
А за анализ насчёт здравого смысла и идиотофилии +1, разумеется...
А что, Убунта это теперь Линукс?
Благо вошло в привычку удалять всякий хлам после установки
https://gist.github.com/DroneZzZko/8e315c5bac823ff354656899c...
АвтоВАЗ напоминает: сразу после покупку нужно отгнать в сервис чтобы дозакрутить все болты и заменить всё то гнильё, которое они поставили в новую машину.Потом перешёл на иностранные авто - и проблема исчезла.
> АвтоВАЗ напоминает: сразу после покупку нужно отгнать в сервис чтобы дозакрутить
> все болты и заменить всё то гнильё, которое они поставили в новую
> машину. Потом перешёл на иностранные авто - и проблема исчезла.Шаблон был крепок: речь про иностранный дистрибутив.
> Разработчики Ubuntu достаточно оперативно отреагировали на сообщениеА про вознаграждение, на радостях, забыли?
>> Разработчики Ubuntu достаточно оперативно отреагировали на сообщение
> А про вознаграждение, на радостях, забыли?оно ему не нужно, платил ему google.
Одно из первых действие после установки это отключение вот этой бесполезной ерунды (ибо оно тормозит неимоверно) вместе с apt-daily/timer и еще всяким мусором.
Главное что код эксплойта написан на безопасном языке и в нем не будет переполнений буфера.
Следующий этап — потокобезопасные эксплойты на Rust.
Сильно)
Десктоп улучшайзеры для *nix поражают даже Билла Гейтса.
> Десктоп улучшайзеры для *nix поражают даже Билла Гейтса.Да ладно вам. Я вот смотрю на последние уязвимости МСца:
https://www.cvedetails.com/vulnerability-list/vendor_id-26/o...
> Publish Date : 2016-11-10 Last Update Date : 2016-11-28
> allows remote attackers to execute arbitrary code via a crafted web site, aka "Open Type Font Remote Code Execution Vulnerability."Причем, начиная с ХРюши. 15 лет.
Вторая:
> Publish Date : 2016-11-10 Last Update Date : 2016-11-28
> allows remote attackers to execute arbitrary code via a crafted file, aka "Microsoft Video Control Remote Code Execution Vulnerability."Тоже, начиная с Vistы, (а скорее всего с ХР, которую уже никто не упоминает в виду заброшенности)
Номер три:
> Publish Date : 2016-11-10 Last Update Date : 2016-11-28
> Microsoft Office 2007 SP3, Office 2010 SP2, Office 2013 SP1, Office 2013 RT SP1, and Office 2016 allow remote attackers to execute arbitrary code via a crafted Office document...
Нумеро восемнадцать:
> Publish Date : все еще 2016-11-10 Last Update Date : 2016-11-28
> Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, and 1607, and Windows Server 2016 allow remote attackers to execute arbitrary code via a crafted image file, aka "Windows Remote Code Execution Vulnerability."и тоже так неплохо поражаюсь – нашлась целая пачка удаленно доступных уязвимостей, которым по 10-15 лет, но ... никто, нигде, ничего ...
Зато при запросе "microsoft remote vulnerability" в гугло-новостях на втором месте выдается "Ubuntu App Crash Reporter Bug Allows Remote Code Execution". Нормально, че (c).
Этот коммент достоин висеть в ОП-посте.
наш гуголь самый безпристрастный гуголь в мире!!!11
атата!
Пофиг, ибо всегда удаляю эту дрянь. Непонятно, зачем ставить это по дефолту. Для тестера может и полезно- обычному пользователю нафиг нужно.
Этот здоровский косяк с mime ещё долго будет радовать людей, вроде есть расширение, которое хоть глазами видно, а тут :)
"ProblemType: "
Шигорин, объясни, откуда в последние недели такой массовый наплыв школо-ботов от МС? раньше такого не было (с)
Ну вот я (уж точно не MS-бот) поддержу товарища - обработка исключительно по mime-tipe - идиотское решение. Как минимум, надо проверять соответствие расширению и выдавать запрос, если что-то не так. ну просто потому, что расширение видно пользователю, а майм - нет. Иначе, даже если нет никаких уязвимостей, поведение системы получается непредсказуемым.Вот данный случай - ну ладно, обрабатывалось бы оно аккуратнее. А то, что юзеру прилетает "вроде как картинка" и при тычке на неё без объявления войны открывается Crash Reporter - это ок, что ли?
Я правильно понимаю, что разработчики убунты, чтобы не заморачиваться, просто делали eval для питоновского кода?
Похоже на то.
Так оно и есть: https://github.com/rickysarraf/apport/commit/5ad7def41358ea9...
Пробовал в лубунте - этот скрипт. пишет что отчет поврежден и не может быть обработан .
mate, аналогично
О, я как раз отключаю всегда этот аппорт. Толку от него всеравно никакого, а тут еще и уязвимость нашли.
оно меня бесило - всегда вырубал.
значит незря :)
Я тоже это отрубал когда юзал убунту, потому что сам apport как раз и крэшился. :)
А woopsie зачем-то нужно или тоже фигня какая-то?
apt purge *apport* *whoopsie*