Критическая уязвимость в PolKit, позволяющая получить root-доступ в большинстве дистрибутивов Linux,
opennews (??), 26-Янв-22, (0) [смотреть все] +1
- Haha, classic Причем хорошо выдержанная, с мая 2009 Тут вчера была новость что ,
Анонн (?), 12:22 , 26-Янв-22, (6) –6 //
- Но ведь дело может быть и не в программисте и не в языке А в том что кто-то спе,
Аноним (10), 12:26 , 26-Янв-22, (10) +1 //
- А как же ревьюверы А как же ментейнер А как же тысячи глаз про которые я каждый,
анон (?), 12:35 , 26-Янв-22, (18) +17 //
- а какова вероятность обнаружения и исправления аналогичной ошибки в компоненте с,
Совершенно другой аноним (?), 12:54 , 26-Янв-22, (35) +17
- 0 177 949 ,
A.Stahl (ok), 13:09 , 26-Янв-22, (49) +2
- Которую придется искать в утечках если они были или проводить реверс инжинирин,
анон (?), 13:16 , 26-Янв-22, (56) –3
- Для кого исходный код закрыт, а для кого исходный код вполне себе доступен по ра,
Аноним (88), 14:49 , 26-Янв-22, (91) +2
- Справедливости ради, хоть я и не безопасник, но посетил пару выставок, и хочу ск,
Зз (?), 20:42 , 29-Янв-22, (233)
- Значительно ниже ДЛЯ ВСЕХ, включая злоумышленников Здесь потребовалось 10 лет,
wyry (?), 04:17 , 04-Фев-22, (243) +1
- Полагаю, они смотрят, чтобы выглядело корректно и работало как задумано, а не ищ,
Аноним (153), 21:31 , 26-Янв-22, (153)
- КОГДА ТЫСЯЧИ ГЛАЗ ОКАЗЫВАЮТСЯ ШОКОЛАДНЫМИ,
A.N. Onimous (?), 17:49 , 28-Янв-22, (219) +1
- Надо было коммунизм доделывать ,
Аноним (125), 17:54 , 26-Янв-22, (125) –2
- Не JS движок добавили , а заменили один JS движок, на другой ,
Аноним (15), 12:31 , 26-Янв-22, (15) +4 //
- Он там всегда был Только раньше требовался жс из файрфокса, а теперь на выбор л,
макпыф (ok), 14:00 , 26-Янв-22, (79) +2 //
- Этой новости лет десять уже Причём душевнобольных шляпников хватило на то, что,
Michael Shigorin (ok), 20:51 , 26-Янв-22, (147) +3 //
- Там, ЕМНИП, какой-то древний mozjs, писанный альтернативно одаренными, считающим,
A.N. Onimous (?), 17:47 , 28-Янв-22, (218)
- Вчера вечером обновился Все тихо, спокойно Void Linux Люблю роллинг-дистры ,
Аноним (7), 12:23 , 26-Янв-22, (7) //
- 128077 127995 ,
Аноним (30), 12:48 , 26-Янв-22, (30)
- Манжаба тоже ничего, прилетел апдейт сегодня,
НяшМяш (ok), 13:05 , 26-Янв-22, (45) +2 //
- А я люблю троллинг-дистры Arch, ALT, FreeBSD например,
Массоны Рептилоиды (?), 17:28 , 26-Янв-22, (123) +1 //
- В Слаке Wed Jan 26 04 37 35 UTC 2022l polkit-0 120-x86_64-2 txz Rebuilt ,
Также Аноним (?), 11:15 , 27-Янв-22, (186)
- Да, дары Да, Линукс Зато опубликовано и залатано Если мне докажут, что Линукс,
Аноним (-), 12:41 , 26-Янв-22, (26) +3 //
- Да, такие вот дары РедГада Кушайте, не обляпайтесь ,
Аноним (-), 12:55 , 26-Янв-22, (37) +1 //
- Бойтесь данайцев, дары приносящих ,
Аноним (63), 12:59 , 26-Янв-22, (41) +2 //
- А ведь прикольно получилось ,
Аноним (29), 12:47 , 26-Янв-22, (29) +1
- Ну вот что за новости унылые пошли Раньше всегда предлагали файл, который нужно,
Аноним (31), 12:50 , 26-Янв-22, (31) –6 //
- Эксплоит описан во всех подробностях и его элементарно можно повторить, обладая ,
Аноним (63), 12:54 , 26-Янв-22, (36) //
- Вот я и говорю, 0 уважения, призывают тратить время на бесполезную хрень ,
Аноним (31), 12:57 , 26-Янв-22, (38) –1 //
- Пф, за что тебя уважать-то За лень и неспособность подумать головой, поучиться ,
Аноним (63), 13:08 , 26-Янв-22, (48) +2
- Вот тем более Тебе оно не нужно, а требуешь Тебя никто не призывает это делать,
Аноним (63), 13:10 , 26-Янв-22, (51)
- Классная уязвимость ,
Аноним (63), 12:51 , 26-Янв-22, (32) +1
- https github com archlinux svntogit-packages commits packages polkit trunkИспр,
Аноним (33), 12:51 , 26-Янв-22, (33) +1 //
- Зачем пользователю иметь повышения прав у меня только для ping записи CD DVD ,
Аноним (34), 12:53 , 26-Янв-22, (34) +6 //
- Классической системы контроля доступа вполне хватает CAP делает ненужным SUID в,
Аноним (34), 12:57 , 26-Янв-22, (39) +2
- Ненужнисты ненужны,
Аноним (44), 13:03 , 26-Янв-22, (44) //
- systemd, dbus, polkitd JS - не нужны Нужны те кто собирает Linux дистры без них ,
Аноним (34), 13:20 , 26-Янв-22, (59) +6 //
- https www opennet ru openforum vsluhforumID3 126553 html 89Зачем использовать ,
Аноним (34), 13:21 , 26-Янв-22, (62) +2 //
- JS, сам по себе, вобщем-то, неплохой язык, который многие не любят из-за того, к,
YetAnotherOnanym (ok), 14:25 , 26-Янв-22, (85)
- Я исправлю предыдущего оратора, зачем тьюринг-полный язык для написания правил к,
Аноним (96), 15:03 , 26-Янв-22, (96) +4
- А почему бы нет Ставить людей перед необходимостью учить ещё один язык, специал,
YetAnotherOnanym (ok), 15:12 , 26-Янв-22, (100) –1
- Как бы людям допущенным к написанию правил безопасности JS знать незачем, поэтом,
Аноньимъ (ok), 19:28 , 26-Янв-22, (135) +2
- Потому что он для этого избыточен зато, теоретически, правило полкита может быт,
Аноним (136), 19:33 , 26-Янв-22, (136) +1
- Я рекоменду вам почитать статьи отсюда https langsec orgТам очень хорошо и до,
Аноним (96), 19:37 , 26-Янв-22, (138) +1
- В двух словах, тезисно, пересказать можете ,
YetAnotherOnanym (ok), 23:42 , 26-Янв-22, (163)
- Если коротко не делай неправильно, делай правильно Мы за всё хорошее против все,
Аноним (174), 07:36 , 27-Янв-22, (174)
- Генеально ,
YetAnotherOnanym (ok), 16:28 , 27-Янв-22, (202)
- Потеринг сэкономил на разработке формата правил контполя доступа и написании его,
Аноним (229), 17:17 , 29-Янв-22, (229)
- Вот совершенно не хочется выступать адвокатом авторов полкита, но, подозреваю, о,
YetAnotherOnanym (ok), 21:50 , 29-Янв-22, (234)
- Потерингу тупо не хотелось придумывать формат правил контроля доступа и писать е,
Аноним (238), 09:56 , 30-Янв-22, (238)
- Здесь все разъяснено https www opennet ru openforum vsluhforumID3 126553 html,
Аноним (229), 17:09 , 29-Янв-22, (228)
- Ну как Просто ведь Просто и пнятно ,
Аноним (198), 16:15 , 27-Янв-22, (198)
- печально конечно, но как обычно для эксплуатации нужно много черной магии ценнос,
mos87 (ok), 13:02 , 26-Янв-22, (43) –6 //
- Моя Ubuntu 8 10 не подвержена, ура Ничего себе, даже в SLES 11 используется боле,
Zenitur (ok), 13:07 , 26-Янв-22, (46) +2 //
- Void Linux дико стагнирует после того, как толпа SJW-макак выгнали создателя и п,
RAMbug (?), 13:12 , 26-Янв-22, (53) +1 //
- зеня, как семейная касса собака старая,
mos87 (ok), 13:33 , 26-Янв-22, (69) –1
- в Gentoo уже положили патч в sys-auth polkit files polkit-0 120-CVE-2021-4043 pa,
Аноним (50), 13:10 , 26-Янв-22, (50) +1 //
- надо будет обновиться дома вечерком за кружкой теплого какао Гента one love ,
Аноним (30), 13:18 , 26-Янв-22, (58) –2
- yaaawn,
mos87 (ok), 13:35 , 26-Янв-22, (70)
- Если у вас в Gentoo установлен polkit - вы неверно используете Gentoo Вам лучше,
Аноним (96), 15:05 , 26-Янв-22, (97) //
- В Ubuntu нет polkit, прикинь ,
Аноним (105), 15:24 , 26-Янв-22, (105) –4 //
- Странно у меня файл pkexec нашёлся - ,
funny.falcon (?), 18:05 , 26-Янв-22, (127) +1
- Удали его Это - южноафриканский омега-вирус ,
Аноним (129), 18:12 , 26-Янв-22, (129)
- Всё так, polkit нет, а pkexec есть Догадаешься, как так вышло ,
Аноним (105), 21:06 , 26-Янв-22, (150)
- что значит неверно в генте не может быть неверно по причине отстутсвия навя,
Аноним (141), 19:51 , 26-Янв-22, (141) +2
- не проверяет корректность - вот так пишут опень сорц - не проверял, думал, счи,
borbacuca (ok), 13:12 , 26-Янв-22, (54) +1 //
- Так а кто ж знал что нулевой элемент массива это не путь до текущей программы ,
Аноним (68), 13:30 , 26-Янв-22, (68) //
- Да знаешь, и клозет сорц пишут точно так же Даже хуже, потому что думают, что н,
Аноним (105), 15:23 , 26-Янв-22, (104) +2
- Это бомба,
Аноним12345 (?), 13:21 , 26-Янв-22, (61)
- а что при этом отвалится ,
ыы (?), 13:23 , 26-Янв-22, (64) +2
- Уязвимость доступна только локально Расходимся ,
Пользователь (?), 13:24 , 26-Янв-22, (65) //
- Запускаешь локально скайп от отдельного ограниченного юзера, а он раз и меняет с,
Урри (ok), 13:57 , 26-Янв-22, (77) +2 //
- Ага, а завтра у тебя на сервере, какой нибудь пакет из npn, gems, cpan или PyPL ,
Аноним (82), 14:07 , 26-Янв-22, (82) +3 //
- У меня нет на сервере Руби или Питона ,
Пользователь (?), 14:49 , 26-Янв-22, (90) –1
- Ну pkexec на сервере -- это что-то за гранью, но найдутся ведь и такие ,
Michael Shigorin (ok), 21:00 , 26-Янв-22, (148) //
- В каждой второй установке убунты по умолчанию Пол-дня занимался тем что его отов,
. (?), 22:44 , 26-Янв-22, (157) +2
- По умолчанию в оракле 8 5, минималке, например ,
ы (?), 10:16 , 27-Янв-22, (182) +1
- Эх, такую великолепную закладочку и ту прикрыли ,
Аноним (72), 13:41 , 26-Янв-22, (72) +1
- Вот такой сидишь себе, пишешь программу, думая, что By convention, the first of,
Anonymus (?), 13:45 , 26-Янв-22, (73) +6 //
- https gitlab freedesktop org polkit polkit - blob a2bf5c9c83b6ae46cbd5c779d305,
Аноним (-), 14:38 , 26-Янв-22, (87) +2
- By convention означает, что так договорились, но в принципе может быть и иначе,
Аноним (105), 15:13 , 26-Янв-22, (101) +2
- https lore kernel org lkml 20220126043947 10058-1-ariadne dereferenced org T т,
Аноним (132), 18:52 , 26-Янв-22, (132) +1 //
- Естественно, ведь он не смог прочитать слово should ,
Аноним (139), 19:48 , 26-Янв-22, (139) //
- похоже на бэкдор ,
onanim (?), 23:54 , 26-Янв-22, (165) //
- should - это пожелание к вызывающей функцию main стороне, а не гарантии для кл,
n00by (ok), 10:34 , 29-Янв-22, (225)
- Что еще можно ожидать от любителей джаваскрипта ,
Урри (ok), 13:56 , 26-Янв-22, (76) +4 //
- Кому нужна это терминально-консольная программа ,
Аноним (129), 14:00 , 26-Янв-22, (78) –4 //
- Какая прелесть ,
YetAnotherOnanym (ok), 14:05 , 26-Янв-22, (81) +2
- Сам факт существования таких флагов в современном мире - большая ошибка и пережи,
Аноним (86), 14:35 , 26-Янв-22, (86) +8 //
- Лайкосик не глядя,
Аноним (128), 18:07 , 26-Янв-22, (128) +1
- Как же умиляют эксперты по безопасности без модели угроз и глобальные выводы ,
Аноним (129), 18:47 , 26-Янв-22, (131) +5 //
- Это в каком простите месте AppArmor про MAC DAC оно, причём тупейшее Без шансов,
PnD (??), 11:27 , 27-Янв-22, (187) //
- Пока сопроводитель пакета понимает, а разработчики дистрибутивов требуют, сомнит,
Аноним (188), 12:38 , 27-Янв-22, (191) –1 //
- Просто концепции 60-х пора бы уже закопать ,
A.N. Onimous (?), 22:06 , 28-Янв-22, (221) //
- С большим удовольствием послушаю альтернативы DAC, CAP, MAC, Integrity, Audit от,
Аноним (238), 09:28 , 30-Янв-22, (236) //
- В шифровании еще с тех времён сильно продвинулись открытый закрытый ключ, диффи,
Аноним (238), 09:41 , 30-Янв-22, (237)
- MAC - это и есть альтернатива DAC И все это применимо только к примитивной файл,
A.N. Onimous (?), 03:14 , 19-Фев-22, (245)
- MAC - это и есть альтернатива DAC И все это применимо только к примитивной файл,
A.N. Onimous (?), 03:17 , 19-Фев-22, (246)
- Просто концепции 60-х пора бы уже закопать ,
A.N. Onimous (?), 22:06 , 28-Янв-22, (222)
- EVM слышал Только рут может изменять метаданные и то не все и не всегда Я мета,
Аноним (229), 17:50 , 29-Янв-22, (232)
- а мужики-то и не знают а кто запретил, где закон-то почитать а вообще 8212 х,
arisu (ok), 11:09 , 30-Янв-22, (239) +1
- Какие-то двойные стандарты Локальная уязвимость на windows - а, дырявая ось, м,
Пользователь (?), 14:52 , 26-Янв-22, (92) +4 //
- Напомните а зачем вообще этот polkit нужен ,
Аноним (96), 15:01 , 26-Янв-22, (95) +1 //
- А вот где тот замечательный выводок незаконнорожденной помеси centos-а с исправл,
ыы (?), 15:09 , 26-Янв-22, (99) +1 //
- В серверных установках Debian 11 такого пакета вообще нет среди установленных В ,
Аноним (111), 16:11 , 26-Янв-22, (111) +1 //
- На FreeBSD сегодня исправили https www freshports org sysutils polkit pkg i,
iZEN (ok), 16:50 , 26-Янв-22, (119) +1
- pkg search --regex dbus 124 polkit 124 udev 124 pulseaudio 124 logind 12,
самокатофил (?), 20:46 , 26-Янв-22, (145) +1
- В Oracle linux обновили ,
ыы (?), 20:51 , 26-Янв-22, (146)
- Блестяще Камень в огород халтурщиков разработки веба и девляпса Их стиль ,
А (??), 21:44 , 26-Янв-22, (155)
- Ахаха, только вчера срачь про попаскрипт и гавнкод макак был Вот и пожалуйста ,
Аноним (156), 21:45 , 26-Янв-22, (156) +1
- Как можно было не проверить argc Это же во всех книжках есть и примерах ,
Аноним (158), 23:05 , 26-Янв-22, (158) //
- Эксплоит https github com berdav CVE-2021-4034,
Аноним (167), 00:58 , 27-Янв-22, (167) +2
- Ух ты, а чо так можно было ,
Аноним (-), 05:54 , 27-Янв-22, (169) +2 //
- ахахаха, никакие языки не спасут от логических ошибок при разработке софтаХоть н,
Аноним (171), 06:20 , 27-Янв-22, (171) //
- Ты не понимаешь Раст это другое святое Он другой он благодатный, он как дунове,
Аноним (173), 07:30 , 27-Янв-22, (173) –1
- Но в некоторых языках логические ощибки лёгким движением руки превращаются в пов,
red75prim (?), 09:30 , 27-Янв-22, (179) +1 //
- Здесь логическая ошибка могла бы остаться логической, без privilege escalation Е,
Ordu (ok), 11:59 , 27-Янв-22, (190)
- В https github com Duncaen OpenDoas releases tag v6 8 2 то же самое нашли И ,
Аноним (176), 09:20 , 27-Янв-22, (176) //
- а вот интересно просто любопытно- первые примеры эксплоита которые появились ,
ыы (?), 12:55 , 27-Янв-22, (193)
//
- Снова это дерьмише дырявое Только белый человек наступает трижды на одни и те,
Аноним (198), 16:05 , 27-Янв-22, (197)
- ,
Аноним (198), 16:17 , 27-Янв-22, (200) +2
- Сжечь огнем Переписывать там нечего ,
псевдонимус (?), 16:19 , 27-Янв-22, (201) +3
- А у ALT Linux AKA Shirogin OS тоже уязвимость работает ,
Аноним (203), 17:09 , 27-Янв-22, (203) //
- Васяткин попенсорс мало того, что кривой, так ещё и дырявый ,
Sanches (??), 18:38 , 27-Янв-22, (206) //
- https haxx in files blasty-vs-pkexec cнаслаждайтесь, васяны 100 рабочий, пос,
пох. (?), 09:28 , 28-Янв-22, (209) +3
- Другое дело, что они его не тянут с собой по умолчанию ,
A.N. Onimous (?), 17:44 , 28-Янв-22, (217) +1
- О возможной уязвимости в PolKit, связанной с обработкой пустых аргументов и su,
Иван (??), 02:24 , 29-Янв-22, (224) +3
- ничего, ducktape всё исправит Гениальная Шутка с Множеством Слоёв ,
arisu (ok), 17:43 , 29-Янв-22, (231)
- Умора Критичная уязвимость 12 лет висела Тысячи глаз смотрят ,
Привет девствнники (?), 15:43 , 30-Янв-22, (240) +2 //
6,7,26,29,31,32,33,34,43,46,50,54,61,64,65,72,73,76,78,81,86,92,95,99,111,119,145,146,155,156,158,167,169,171,176,193,197,200,201,203,206,209,217,224,231,240
|
Вариант для распечатки
