URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 120009
[ Назад ]
Исходное сообщение
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено opennews , 09-Мрт-20 12:04 
В приложении Timeshift выявлена уязвимость (CVE-2020-10174), позволяющая локальному пользователю выполнить код с правами root. Timeshift представляет собой систему резервного копирования, использующую  rsync с установкой жёстких ссылок или снапшоты Btrfs для реализации функциональности, похожей на System Restore в Windows и Time Machine в  macOS. Программа входит в репозитории многих дистрибутивов и применяется по умолчанию в PCLinuxOS  и Linux Mint. Уязвимость устранена в выпуске Timeshift 20.03...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52509

Содержание
Сообщения в этом обсуждении
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Неуловимые Джо , 09-Мрт-20 12:04 
Вот тебе раз! А мы думали, никто не догадается.
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено VINRARUS , 09-Мрт-20 14:30 
>Во время создания резервной копии программа создаёт каталог /tmp/timeshift, в котором создаётся подкаталог со случайным именем, содержащий shell-сценарий с командами, запускаемый с правами root.

Кошмар, ну и колхоз.
Харашо шо я пользуюсь snapper!

"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 09-Мрт-20 14:35 
>snapper

который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше про гуй для rsync

"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено VINRARUS , 09-Мрт-20 14:39 
>>snapper
> который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше
> про гуй для rsync

Ибо для копания нада использовать лопату, а не молоток.

"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 10-Мрт-20 00:46 
Может у него грунт каменистый? :)
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено VINRARUS , 10-Мрт-20 08:23 
> Может у него грунт каменистый? :)

Тогда от сажания картошки лучше отказаться ;)

"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено mikhailnov , 09-Мрт-20 16:13 
GUI для rsync - это grsync, а сабж далек от этого
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 09-Мрт-20 14:33 
rsync хватит всем
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 09-Мрт-20 16:36 
Хорошее ПО. Очень много раз выручало
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 09-Мрт-20 20:04 
Выручало когда хотел в чужой системе привелегии повысить?
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено анонимуслинус , 09-Мрт-20 21:20 
при этом оно забивает раздел в момент если эти снимки делаются раз в день)) даже при установке раз в месяц и то за несколько месяцев закроет весь системный раздел. если я просто буду копировать /etc и еще парочку мест и то дешевле обойдется.)) а так да удобный гуй.
"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."
Отправлено Аноним , 10-Мрт-20 12:11 
>Атакующий может от своего имени создать каталог /tmp/timeshift, после чего отследить появление подкаталога и подменить этот подкаталог и файл в нём.

прэлэээстно

впрочем, вряд ли кто-то в своём уме ставит сабж на мишн-критикал системы и тем более сервера.