OpenForum RSS: Уязвимость в Dropbear SSH, допускающая подстановку команд в dbclient https://m.opennet.me/openforum/vsluhforumID3/136829.html Опубликован выпуск проекта Dropbear 2025.88, развивающего сервер и клиент SSH, получивший распространение в беспроводных маршрутизаторах и компактных дистрибутивах, подобных OpenWrt. В новой версии устранена уязвимость (CVE-2025-47203) в реализации SSH-клиента (программа dbclient), позволяющая выполнить shell-команды при обработке специально оформленного имени хоста. Уязвимость вызвана отсутсвием экранирования спецсимволов в имени хоста и использованием командного интерпретатора при запуске команд в режиме multihop (несколько хостов, разделённых запятой). Уязвимость представляет опасность для систем, запускающих dbclient с непроверенным именем хоста...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63223<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (_) https://m.opennet.me/openforum/vsluhforumID3/136829.html#75 Thu, 15 May 2025 15:16:07 GMT Модеры почему то трут, но я в очередной раз с восторгом(С) довожу до сведения:<br>У Microsoft Corporation нет нужды юзать кастррованную версию, у них полный, родной _оригинальный_ OpenSSH ! Установите из Компонентов Уиндоус и запустите - оно вам копирайт и версию выведет :)<br><br>Ну вот - Чирков теперь можно стирать! :)<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#74 Wed, 14 May 2025 03:53:56 GMT ssh клиент на интернет-роутере нужен 0.5 гикам, не более.<br>Сервер да, нужен, а клиент - эталонное ненужно<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (_) https://m.opennet.me/openforum/vsluhforumID3/136829.html#73 Tue, 13 May 2025 14:30:16 GMT Ну имя сервака == имя проекта, пойдёт, нАмАнА.<br>А вот имя клиента классический mislead - у всех 146% "dbclient" чЁтко триггерит на клиент базы данных :)<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#69 Tue, 13 May 2025 11:54:07 GMT Вот и я спрашиваю - зачем геморроиться с вводом-выводом, сериализацией и парсингом вместо прямого использования библиотечных функций?<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#68 Mon, 12 May 2025 22:55:35 GMT &gt; Это-то понятно, но как раз без "технической стороны" (т.е. поддержки ЯП/компилятором) привычку <br>&gt; к такому подходу выработать довольно сложно, как и следовать ему (если <br>&gt; только ты не единственный разработчик или не начнешь костылять с помощью <br>&gt; struct и прочего, потому что сишный typedef - просто алиас).<br><br>А в чем собссно костылирование с помощью struct? Как раз сложный тип, для валидации и в паре с typedef - самое то. Может передаваться весьма эффективно - по указателю - при том левый тип указателя в этом случае хрен так с наскока вообще скормишь. Билд свалится нахрен по "incompatible pointer type" при первом же поползновении.<br><br>Это конечно не сделает из си плюсы, оверлоад операторов от этого не отрастет, но оно и к лучшему порой - ибо помощью таких вещей порой делают очень неожиданные фокусы и майнтайнить такие программы потом вдолгую становится сущим кошмаром.<br><br>Прелесть сишки в том что это - минимальное, just enough языковое core достаточное для системных задач - и даже изрядного расширения себя Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#67 Mon, 12 May 2025 22:43:24 GMT &gt; Набирать dbclient для ssh клиента... ШТА ?<br>&gt; Какой гений выбирал имя команды ?<br><br>Если учесть что чам демон называется dropbear... "какой гений выбирал название сервака", да? :)<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#66 Mon, 12 May 2025 22:41:22 GMT &gt; Обмен сериализованнымт в текстовое представление объектами &#8212; это всё ещё unix-way, <br>&gt; определение которого если и существует, то только вот в этих самых <br>&gt; свидетельствах апостолов и толкованиях муллы, или уже нет? <br><br>Зачем в glue code для интерконекта нескольких простых шустрых программ - вообще заниматься вон тем? Чтобы вместо пяти минут на решение задачи - отношаться с ней полдня?<br><br>Это кусок бреда и гимрра на манер powershell. Извратить можно любую идею, и это отличный пример на эту тему.<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#65 Mon, 12 May 2025 21:15:57 GMT &gt;&gt; Удивительно. Уязвимости находят в 100500ом переизобретении лисапеда<br>&gt; Поправил, не благодари.<br><br>1) OpenSSH для мелких роутеров - слишком жирный.<br>2) И в нем кстати тоже находят CVE.<br><br>Вообще-то людям свойственно ошибаться. Откуда следует что CVE будут находить во всем что сделано людьми.<br> Уязвимость в Dropbear SSH, допускающая подстановку команд в ... (Аноним) https://m.opennet.me/openforum/vsluhforumID3/136829.html#64 Mon, 12 May 2025 18:39:38 GMT Майкрософт для тебя роутеры?<br>