OpenForum RSS: Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов в репозиториях Fedora и openSUSE https://www.opennet.dev/openforum/vsluhforumID3/136372.html Исследователи безопасности из компании Fenrisk раскрыли информацию об уязвимостях в инструментариях Pagure и OBS (Open Build Service), позволявших скомпрометировать инфраструктуры формирования пакетов дистрибутивов Fedora и openSUSE. Исследователи продемонстрировали возможность совершения атаки для выполнения произвольного кода на серверах с Pagure и OBS, что можно было использовать для подстановки изменений в пакеты в репозиториях Fedora и openSUSE...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62928<br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (пох.) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#61 Mon, 24 Mar 2025 15:01:37 GMT ну какой весьмир? Подкроватные серверы на федорином горе только. Зачем?!<br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (нах.) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#58 Mon, 24 Mar 2025 09:58:50 GMT Собственно, да:<br>https://fenrisk.com/open-build-service - первоисточник с выпиленным видео ниочем.<br><br>Героическим усилием через миллион стремных мест удастся запустить шелл от непривиллегированного юзера выполняющего сборку пакета (причем в настоящей ОБС этот юзер, сборка и все вместе существуют внутри одноразовой сборочной виртуалки, где ничего кроме твоего пакета и нет) - что, конечно, не было так задумано.<br><br>Стоп, здрасьте - а зачем мы это все запускали, если обс и так запускает наши сборочные скрипты - от того же юзера и там же?!<br><br>Ну и приятная новость от самих обсников - что они оказывается вручную проверяют манифесты хотя бы иногда, и подобная хрень не пройдет модерацию.<br><br>Т.е. проблема существует только у васяна с его домашней ОБС внутри которой он делает curl &#124; sudo sudo su неглядя... т.е. опять же не существует, он этот пакет у себя потом еще и запускать собирался, незачем ломать сборку самому себе в надежде на сомнительный успех - надо просто подождать пока соберется. Еще и от рута запустит Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (Минона) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#55 Sun, 23 Mar 2025 18:37:57 GMT Признайся, ты специально опечатался. <br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (чатжпт) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#53 Sun, 23 Mar 2025 15:42:20 GMT вот, одна опечатка и у сишника уже переполнение и выход за границы буфера &#128514;<br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (User) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#52 Sun, 23 Mar 2025 13:37:55 GMT Как вы думаете, найду ли я что-нибудь, связанное с "relative path traversal" в исполнении с, perl, php, Java etc сеньоров на mitre с одного запроса, или потребуется аж целых джва?<br>"Классичность" баги как бы намекает, что дело тут не в бобине... <br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#51 Sun, 23 Mar 2025 13:19:04 GMT &gt;&gt;И вообще, вместо баша/sh нужен нормальный скриптовый язык вроде питона <br>&gt; Спасибо, не надо. Уже и так куча пакетов питоном заражена. Вместо питона <br>&gt; нужно писать на нормальном основном языке проекта <br><br>Да вон уже напрогали на питончике. И получили аж 4 CVE потому что нубоджуну никто не сказал что ввод надо валидировать.<br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#50 Sun, 23 Mar 2025 13:07:55 GMT &gt; будто это отменяет тысычи других cve где в shot int присваивают long <br>&gt; int и получают выполнение кода <br><br>Видно птицу по помету. Shot int у него. Ну хоть не headshot int, и на том спасибо. Позагадили такие как вы своими "программами" типа вон того - и еще на других быковать смеете. Позор!<br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#49 Sun, 23 Mar 2025 13:06:24 GMT &gt; Тут ни одной ошибки с памятью пока не нашли.<br><br>Спиливание мушки не повлияло на участь Джо... <br> Уязвимости в Pagure и OBS, допускавшие компрометацию пакетов... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/136372.html#48 Sun, 23 Mar 2025 13:03:56 GMT &gt; Можно ещё не запускать всякий шлак от рута и делить программы на <br>&gt; пользователей. Даже 32 тысяч уникальных айдишников на серваке должно хватить. Но <br>&gt; девопсы по большей частью заняты (уже лет 20 точно) джейсоноукладкой, а <br>&gt; не настройкой системы под свои нужды.<br><br>И как это все поможет от идиота не валидирующего что пользователь накидал - так что давайте перезапишем вон тот гит на наш левак, с хакаными пакетами?! Оно ж рулит этим гитом и by design должно уметь читать-писать оный.<br><br>По моему фикс тут - не нанимать всяких дятлов кодить системы где потом весь дистр нагнуть можно.<br>