URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130318
[ Назад ]
Исходное сообщение
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено opennews , 27-Апр-23 11:35 
В Warpinator, развиваемой проектом Linux Mint утилите для шифрованного обмена файлами между двумя компьютерами, выявлена уязвимость (CVE-2023-29380), позволяющая отправителю удалить произвольные файлы на компьютере получателя. Уязвимость устранена в выпуске Warpinator 1.6.0, в котором также добавлена дополнительная защита от похожих проблем при выполнении других операций, реализованная через использование изоляции части файловой системы при помощи Landlock или Bubblewrap...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59040

Содержание
Сообщения в этом обсуждении
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 11:35 
зря со скайпа перешел(
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 22:39 
> зря со скайпа перешел(

Слать можно по чему угодно, если это например архив с невнятным именем и паролем. А какой-нибудь 7z умеет и заголовки архива шифровать, да и пароль крякать на нем печально.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 11:36 
Писали бы ее на безопасных языках, например, на питоне... oh wait...
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено КО , 27-Апр-23 19:17 
А если был бы на Rust'е?
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 28-Апр-23 01:09 
А кстати раз уж упомянули, а как(чем) проверить в Rust что указанный путь вышел за пределы рута.
Помню, что была какая-то функция в APR утилсах, а тут?
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 01-Май-23 18:02 
> А если был бы на Rust'е?

Тогда вообще был бы сразу Wipinator. Secure Wipinator. Они бы это вообще фичой обозвали и приделали безопасное удаление стираемых файлов.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 11:54 
> Warpinator - send and receive files across a local network

Эм... А насколько реальна эксплуатация этой уязвимости, если тулза работает в локальной сети? Или сам факт, что злоумышленник прошел аутентификацию в сети - это ничего страшного?

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 11:58 
Находят уязвимости в более масштабных проектах по сетям
https://www.opennet.me/opennews/art.shtml?num=58935
https://www.opennet.me/opennews/art.shtml?num=58809

неприятно, но относительно более финансируемых, на мой взгляд - пустяк

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Бывалый смузихлёб , 27-Апр-23 12:41 
Ненуачо, ведь под предлогом недостаточной безопасности WebRTC запретили работать и получать список устройств в локальной сети вне https, а то набегут ещё ужасные люди-посредине
Ну и крупные конторы сертификации с некоторых пор перестали выдавать сертификаты на локальные ip-адреса. Бонусом, так сказать
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено AKTEON , 27-Апр-23 19:33 
ИИИ.. Джентельмены не могут пересобрать firefox  ???
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 22:49 
> ИИИ.. Джентельмены не могут пересобрать firefox  ???

Проще tox поставить. И не иметь такой проблемы как категории. Ни вам джентльменов, ни MITM, ни настройки серверов, и работает даже в локалке. Даже без интернета, если в пределах своей сетки. И ни у кого разрешений спрашивать не надо.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 11:59 
Вот тебе и Linux Mint! Компенсаций пользователям как обычно не будет.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 12:01 
> Компенсаций пользователям как обычно не будет.

Мне положены выплаты. Где мои выплаты? Я буду жаловаться. Срочно выплаты давайте.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 13:02 
Найдите ещё уязвимость и компенсируйте))
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Массоны Рептилоиды , 27-Апр-23 13:32 
Для получения компенсации отправьте SMS на короткий номер
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено _RORO_ , 27-Апр-23 12:36 
Ну так и пользователи ничего за это не платили. Гораздо хуже, когда проблемы появляются в платной проприетарщине, и компенсация там тоже бывает далеко не всегда
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 12:42 
Пользователям Linux Mint нужно ещё доплачивать, что они пользуется таким некачественным софтом.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 22:50 
> Вот тебе и Linux Mint! Компенсаций пользователям как обычно не будет.

Потребуй свои деньги назад, что за безобразие!

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 30-Апр-23 02:19 
> Потребуй свои деньги назад, что за безобразие!

А как же моральный ущерб? Понимать надо!

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 12:27 
https://www.opennet.me/opennews/art.shtml?num=43915
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено pashev.ru , 27-Апр-23 13:11 
> по умолчанию ~/Warpinator

Засирающие хомяк поделки не нужны.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Амомин , 27-Апр-23 17:16 
Умельцы из bumblebee с тобой полностью согласны и готовы почистить тебе не только хомяк https://github.com/MrMEEE/bumblebee-Old-and-abbandoned/issue...
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:46 
Предпочтешь искать свои файлы где нить в /usr/local/...?
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено OpenEcho , 27-Апр-23 13:24 
Пасаны и пасанки не слышали про https://snapdrop.net/ вероятно, вот и пилят
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Массоны Рептилоиды , 27-Апр-23 13:35 
https://localsend.org тогда уж. Для снэпдропа сервер нужен
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено OpenEcho , 27-Апр-23 18:53 
> https://localsend.org тогда уж. Для снэпдропа сервер нужен

зачем, там все работает через через браузер и ничего загружать не надо

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Ivan_83 , 27-Апр-23 17:19 
Я юзаю варпинатор потому что есть клиент под андройд в фдройде и потому что есть клиент под линух (и я его портировал себе на фрю).
Но это для больших файлов, а так же когда инета нет (например в поездках), мелкие файлы при наличии инета обычно кидаем через джаббер.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено InuYasha , 27-Апр-23 18:19 
так в жабе тоже через сервер, не? у меня в нём никогда передача файлов не работала - не знаю %)
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Ivan_83 , 27-Апр-23 18:32 
Там вроде по разному, у нас через сервер, те на всех девайсах где акк активен сразу можно получить.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено OpenEcho , 27-Апр-23 18:55 
> Я юзаю варпинатор потому что есть клиент под андройд в фдройде и
> потому что есть клиент под линух

снапдроп работает через браузер, не надо никаких клиентов, браузер везде есть и данные не выходят за пределы локалки все p2p


"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:59 
Unable to connect

    The site could be temporarily unavailable or too busy. Try again in a few moments.
    If you are unable to load any pages, check your device’s data or Wi-Fi connection.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено OpenEcho , 27-Апр-23 22:05 
Selfhost it: https://github.com/RobinLinus/snapdrop
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено ip1982 , 27-Апр-23 13:42 
> разработчикам Warpinator рекомендовано использовать более строгие технологии изоляции, такие как

Отдельный физический сервер :)

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено фтщтшь , 27-Апр-23 13:52 
дело бамбл-бага живет и процветает
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 14:12 
Какой-то пинатор там, где достаточно просто гпг дернуть и послать результат любым удобным способом. Пароль (или блокнот паролей) передать по альтернативному каналу связи или лично.

Главное, не убывает желающих мокрые писечки устанавливать.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 14:57 
Со смарта фото документов на ноут как грузить будешь?
Будешь трахаться с openkeychain на андроиде, потом себе на почту отправлять? Кабель бегать искать?
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено pashev.ru , 27-Апр-23 14:59 
SSH в Termux. Же.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено pashev.ru , 27-Апр-23 15:00 
Ещё блютуз есть. Же.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено InuYasha , 27-Апр-23 18:25 
термукс уже джва года как не работает же, с криками на glibc, вроде.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Shevchuk , 27-Апр-23 21:30 
Это в Google Play старый, новый и обновляемый — в F-Droid.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено InuYasha , 27-Апр-23 22:41 
как будто я когда-либо пользовался Ploogle Gay ) Вот именно в F-droid-е его первым и поломали.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Shevchuk , 28-Апр-23 17:09 
УМВР 🤷‍♂️
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 15:23 
> Кабель бегать искать?

Зачем бегать, если он всегда рядом лежит? И по нему передавать несоизмеримо быстрее, да и при передаче батарея на смарте меньше садиться. Плюс еще есть вариант с кард-ридером, который всегда в ноуте.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:22 
я могу в одной руке держать чашку кофе, а второй сфотать документ и отправить сабжем на ноут.
а ты втыкайся вытыкайся там в юсб целыми днями
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено soarin , 28-Апр-23 04:07 
> Зачем бегать, если он всегда рядом лежит? И по нему передавать несоизмеримо быстрее

Нет. Сейчас обычное дело, что у смартфона в порте USB 2.0 или кабель USB 2.0.
А WiFi версии 5 или даже 7.

Второе быстрее по скорости.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 15:58 
У тебя что кабелефобия? Кабель во всех случаях всегда проще и удобнее.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено nebularia , 27-Апр-23 17:02 
FTP) Куча реализаций сервера на телефоне, причём даже включённых в популярные прошивки, поднимается буквально одной кнопкой. На винде подключаться Проводником, на линухе - в зависимости от используемой DE пользователь в состоянии разобраться. Всё гениальное просто.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:27 
настраивать статический ip для смарта на роутере, расшаривать внутреннюю память смарта, включить шару, выискивать на ноуте фотку в этой шаре - это все оч весело, конечно, но только для красногла зых бездельн иков с обилием времени
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено nebularia , 27-Апр-23 18:29 
Зачем статический, жамкаешь кнопочку и он тебе покажет сам адрес куда подключиться, только цифирки ввести на компе.

Если тебе одну фотку передать, проще через облако или мессенджер, а если много то это вполне удобный способ.

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:39 
свои документы, без шифрования, да на чужой сервер, отличная идея!

опеннетовцы удивительные

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено nebularia , 27-Апр-23 19:42 
Шизопараноиков забыли спросить
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Kuromi , 01-Май-23 17:02 
Ну как вариант еще есть Bluetooth, но там если alt phy не рабоатет то все вообще печально по скорости, поседеть можно если файл крупный.
Зато без кабеля.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено InuYasha , 27-Апр-23 18:27 
Лол, ты из дома без кабеля выходишь? ) Ну, давай - передавай через анимированные qr-коды с экрана на камеру. Такое есть.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Shevchuk , 27-Апр-23 21:32 
Share → KDE Connect → Laptop, три тапа 🤷‍♂️
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 21:44 
В вотсап можно сразу послать. Один фиг твои фотки уже ТАМ видели.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 28-Апр-23 01:14 
> Со смарта фото документов на ноут как грузить будешь?

KDE Connect или Syncthing

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Амомин , 27-Апр-23 17:11 
Ну вот поэтому ляпикс на десктопе в глубокой попе, что есть такие чудаки на букву м верящие что для задачи «скинуть фотку с телефона чтобы что-то с ней на компьютере сделать» кто-то будет мудохаться с gpg чтоб протолкнуть в отнюдь нерезиновый мессенджер самому себе (или почту)

На опеннет стоит заглядывать только ради вот такой охинеи

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 18:49 
Syncthing!
Фоткаю, пока иду к ноутбуку, оно уже там ;)
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:52 
не оч вариант, тк придется либо расшаривать всю папку с фото со смарта, либо перемещать файл в шару
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 28-Апр-23 16:09 
Со всех сторон конечно не очень хорошо.
Но, + бекап, + посмотрел на компе в хорошем качестве, не радует качество удалил, на смарте тоже удалился.
Меньше запарок.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено xrensgory , 27-Апр-23 15:38 
Это uucp на смузях ? xD
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 15:57 
А вот если бы писали на модули-2 то полетели бы в космос.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 16:07 
warp [wɔ:p] v - искривиться; сноваться; ссохнуться; ссыхаться; извращать (взгляды и т. п.); коробиться; искажать; искривляться; деформироваться (о древесине); удобрять наносным илом; верповать; отвлечь (from; от чего-либо); совратить (с пути); сплетать; искривлять; связывать; покорёжить (Anglophile); искорёжить (Anglophile); выгибать; выгнуть; перекосить (в постройке); воздавать хвалу; двигаться взад и вперёд; забивать аллювием; забивать илом; забиваться аллювием; забиваться илом; затоплять с целью удобрения илом, аллювием; идти на четвереньках; отклоняться от намеченного пути; поддаваться угрозам; портить; посвящать Богу; предвещать опасность; представлять собой опасность; прославлять; родить; святить; сделать счастливым; совратить с пути (и т.п.); удобрить илом; уродовать; фальсифицировать; коробить (impf of покоробить, скоробить); корёжиться (Anglophile); уклоняться; удаляться; заблуждаться; ошибаться; шататься; вертеться; кружиться; идти по ветру; плыть по ветру; набирать основу; сгибать (дерево); сковывать (морозом); совращать с пути; заставлять уклоняться; отдалять от (чего-л.); отводить от (чего-л.); колебать; шатать; потрясать; влиять (дурно); скривить (в постройке)

А где баг-то?

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено InuYasha , 27-Апр-23 18:29 
а ещё Каиба.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 23:31 
> сделать счастливым

Шах и мат, последователи Императора!

"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 16:57 
Детская ошибка. Есть стандартное правило. Не оправлять ОСи напрямую то, что шлет другая сторона, а парсить это самому. И никакие изоляции не понадобятся.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 21:10 
Парсить самому - верный способ забыть что-то в процессе парса, какие-нибудь спецсимволы и т д.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 28-Апр-23 09:36 
Не, протокол твой, а значит тебе решать, что можно передавать, а что нет.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним123 , 27-Апр-23 17:13 
Что люди не делают лишь бы SSH не использовать
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено _ , 28-Апр-23 04:42 
чтобы его юзать тоже чего только не делают, на вот внизу - смузикам понравится, всё ж цветное :)
https://github.com/charmbracelet/soft-serve
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено _ , 28-Апр-23 04:44 
или сразу:
ssh git.charm.sh -t soft-serve
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено жявамэн , 27-Апр-23 17:21 
что это такое вообще лол
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 27-Апр-23 21:11 
Это линукс.
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Амомин , 27-Апр-23 17:26 
А оно в минте интегрировано как положено (правым кликом на любом файле или папке в ихнем проводнике наутилусе и через меню Share в программках без лишней цепочки «запусти программу - найди в ней кнопку отправить - вспомни где файл - забудь че ты вообще хочешь и пойди купи макбук наконец-то») или как всегда тяп ляп?
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Анонус , 27-Апр-23 18:19 
тяп ляп
"Уязвимость в утилите Warpinator, позволяющая удалить файлы"
Отправлено Аноним , 28-Апр-23 01:24 
Я не очень умный и не понимаю зачем это нужно, когда есть scp, ssh, rsync?