forum.opennet.ru

"Уязвимость в tmux, эксплуатируемая через escape-последовательность"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
Сообщение от Ordu (ok), 07-Ноя-20, 11:32
Классификация уязвимостей придумана не случайно, потому как методы устранения и избегания этих уязвимостей разные. Выход за границу массива делается невозможным при проверке на выход при обращении. sql-инъекцию ты проверками не устранишь (можно попытаться, но на более-менее сложном софте тебе никогда не удастся _доказать_ невозможность sql-инъекции, несмотря ни на какие проверки), к ней нужны другие подходы. Это я к тому, что не переводите стрелки в стиле "а у них негров линчуют".
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в tmux, эксплуатируемая через escape-последовательность, opennews, 06-Ноя-20, 13:01 [смотреть все]

Обожаю сишечку , Fracta1L, 06-Ноя-20, 13:01 (1) //
- Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша , наноним, 06-Ноя-20, 13:06 (3) //
  - Есть - не открывать комментарии на данном сайте, а заодно на паре других Потому, Аноним, 06-Ноя-20, 13:29 (11) //
    - Э, батенька, полегче, если вы не будете читать наши кремлекомментарии, то нас вс, Аноним, 06-Ноя-20, 19:26 (54)
  - Личный кабинет , отслеживание обсуждений и участников , фильтр участников h, Аноним84701, 06-Ноя-20, 14:15 (24) //
    - А анонимусу как этим воспользоваться Опять дискриминация , Аноним, 06-Ноя-20, 15:34 (35)
      - Например, предложить свою реализацию фильтров, полностью на стороне пользователя, Аноним84701, 06-Ноя-20, 16:13 (40)
    - Ты позор анонимусов , псевдонимус, 06-Ноя-20, 16:16 (42)
  - Создать правило для блокировщика рекламы , Аноним, 06-Ноя-20, 15:21 (33)
- В нормальных OS и на нормальных процах переполнение буфера не эксплуатируется , A, 06-Ноя-20, 15:47 (36) //
  - 171 джентльмены верят друг другу на слово 187 , develop7, 06-Ноя-20, 16:18 (43) //
    - Дело в математике, строгий контроль за W X и запрет изменений режимов памяти , Аноним, 07-Ноя-20, 18:00 (86)
    - Ты не верь, ты проверь paxtest blackhat, Аноним, 07-Ноя-20, 18:01 (87)
- Для тебя уже заготовлена персональная сишная дырень в аду , Корец, 06-Ноя-20, 16:14 (41)
- Это не имеет значения, похожие уязвимости можно и в javascript устроить Там кон, Аноним, 07-Ноя-20, 01:00 (75) //
  - Классификация уязвимостей придумана не случайно, потому как методы устранения и , Ordu, 07-Ноя-20, 11:32 (82)
  - по-моему, все современные сайты с JS такие , СеменСеменыч777, 07-Ноя-20, 21:19 (89)
Знаю контору, где месяц как во всём парке серверов screen на сабж заменили , InuYasha, 06-Ноя-20, 13:05 (2) //
- даже интересно, а чем руководствовались screen можно назвать стандартом де-факт, m.makhno, 06-Ноя-20, 13:07 (4) //
  - Мы буквально обсуждаем более функциональную альтернативу , Owlet, 06-Ноя-20, 13:11 (6) //
    - не вся функциональность декларирована, Michael Shigorin, 06-Ноя-20, 14:16 (25)
  - tmux под ISC, что почти BSD,а screen, учитывая что он GNU Screen, думаю понятно , Your mama, 06-Ноя-20, 13:16 (7)
  - Вот чем руководствовались https savannah gnu org bugs group screen, Дима, 06-Ноя-20, 14:33 (27)
- Хорошая новость для конторы, большинство стабильных дистров не затронуло вовсе, , topin89, 06-Ноя-20, 13:18 (8) //
  - Ну это как сказать, попробуйте на дебиане бастер стретч те ескайп строчки из с, OpenEcho, 07-Ноя-20, 00:23 (72)
- Зачем tmux на серверах Всегда использовал и использую его строго с локальной та, Аноним, 06-Ноя-20, 14:09 (22) //
  - SIGHUP, Michael Shigorin, 06-Ноя-20, 14:17 (26) //
    - Ой, чота у вас там отвалилось А причем тут мы , myhand, 06-Ноя-20, 19:23 (51)
  - Чтобы запустить какой-то длительный процесс в обычном интерактивном терминале, н, Аноним, 06-Ноя-20, 15:14 (32) //
    - Зачем интерактивный процесс запускать в не интерактивном режиме А как наблюдать, Sw00p aka Jerom, 06-Ноя-20, 17:51 (46)
      - Где тебе сказали, что процесс - интерактивный Вопрос с подвохом, на умение ч, myhand, 06-Ноя-20, 19:26 (55)
        
        а кто вам сказал, что для запуска не интерактивного процесса нужен tmux или пляс, Sw00p aka Jerom, 06-Ноя-20, 20:33 (57)
        
        Таки да, и микроскопом можно гвозди забивать , myhand, 06-Ноя-20, 20:52 (59)
        
        А если амперсанд в конце команды добавить то оно разве не в фоне будет работать , Аноним, 06-Ноя-20, 21:07 (60)
        
        Будет, но завершит работу, если завершит работу дочерний шелл, например если раз, BrainFucker, 06-Ноя-20, 21:52 (63)
        SIGHUP SIGHUP SIGHUP Напиши 1000 раз Одного, очевидно, для тебя было мало , myhand, 07-Ноя-20, 07:22 (78)
      - Тут два случая - неинтерактивный и интерактивный процессы В случае с неинтеракти, Аноним, 08-Ноя-20, 17:48 (91)
        
        добавьте еще понятие foreground и backgroundне деаттачится - foreground, иначе -, Sw00p aka Jerom, 09-Ноя-20, 12:02 (95)
  - Это правило касается не только сервера, а любого проекта, Lex, 07-Ноя-20, 10:44 (80)
- И правильно сделали, - сравните количество CVE tmux и screen , OpenEcho, 06-Ноя-20, 18:20 (48) //
  - Хм С момента выхода tmux наверное, нет смысла смотреть на детские болячки scre, Анонимленьлогиниться, 08-Ноя-20, 20:42 (94)
Не работает, burik666, 06-Ноя-20, 13:10 (5) //
- Дык эта версия релизнута как раз под этот фикс , погроммист, 07-Ноя-20, 13:11 (83) //
  - Уже понял Из текста новости не очевидно это было , burik666, 07-Ноя-20, 13:16 (85)
Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему, Иваня, 06-Ноя-20, 13:21 (9) //
- Собственно, все его пользователи отметились выше , Аноним, 06-Ноя-20, 13:30 (12)
- Самое время начать, Вшталик, 06-Ноя-20, 13:43 (14)
- иногда это самый простой способ запустить на сервере какой-нибудь java процесс ч, hshhhhh, 06-Ноя-20, 13:59 (16) //
  - ну для первого есть nohup, а для второго перенаправление вывода , 1, 06-Ноя-20, 14:10 (23) //
    - nohup можно сразу же выводить в нужный файл, но зачастую иметь сессию с запуще, hshhhhh, 06-Ноя-20, 16:04 (38)
      - Нууу, зачастую сетуп екзе-далее-далее-готово удобно, а еще без штанов удобно, у , 1, 06-Ноя-20, 21:21 (61)
- Скорей всего потому что тебе не приходится по SSH торчать на удалённых хостах ЗЫ, BrainFucker, 06-Ноя-20, 21:59 (65)
В Fedora 33 не воспроизводится, версия tmux - 3 1 Просто пишет server exited u, Аноним, 06-Ноя-20, 13:53 (15) //
- о чем в тексте новости и было написано, но не читатель , 1, 06-Ноя-20, 14:01 (19) //
  - Версия уязвимая, никаких патчей от этой уязвимости нет Можешь сам проверить htt, Аноним, 06-Ноя-20, 14:04 (20) //
    - ASLR патамушта, Аноним, 06-Ноя-20, 14:47 (28)
- попробуй после sudo sysctl -w kernel randomize_va_space 0, погроммист, 07-Ноя-20, 13:13 (84)
А нефиг так задро неприемлемая_лексика , user90, 06-Ноя-20, 14:00 (17)
screen наше всё, анон, 06-Ноя-20, 14:07 (21) //
- https www cvedetails com vulnerability-list vendor_id-72 product_id-1860 GNU-S, OpenEcho, 06-Ноя-20, 18:21 (49) //
  - Да ладно, немного совсем Последняя появилась после того, как туда набежал Наумо, Аноним, 06-Ноя-20, 22:55 (69) //
    - Вообще-то три cve за последине 10 летhttps cve mitre org cgi-bin cvekey cgi ke, OpenEcho, 07-Ноя-20, 00:38 (73)
      - Количество CVE ни о чём не говорит Во-первых, эти списки у каждого свои, во-вто, Аноним, 07-Ноя-20, 19:30 (88)
    - Он работает над кодом как и раньше , Аноним, 01-Фев-22, 23:42 (96)
Ничё, со временем всё перепишут на раст и будет чики-брики , Wilem82, 06-Ноя-20, 15:00 (29) //
- Работать перестанет Программа, а не уязвимость Охотно верю , псевдонимус, 06-Ноя-20, 16:20 (44) //
  - ага, cheeky-bricky , InuYasha, 06-Ноя-20, 18:11 (47) //
    - I v damki - , псевдонимус, 06-Ноя-20, 18:36 (50)
      - Maslinoo slovil , bergentroll, 06-Ноя-20, 22:08 (66)
      - Если уж продолжать начатую аналогию, то I v dumbki , Michael Shigorin, 08-Ноя-20, 17:58 (92)
В расте такого быть не может, всегда выведется сообщение о недопустимости ввода , Аноним, 06-Ноя-20, 16:12 (39) //
- Фрактал, проспись и залогинься , myhand, 06-Ноя-20, 19:28 (56) //
  - Только лучше не здесь, а на ЛОРе Там ему самое место , BrainFucker, 06-Ноя-20, 21:55 (64)
при входе по ssh на вредоносный хост - непонятно, а зачем вообще ходить по ss, Аноним, 06-Ноя-20, 19:23 (52) //
- А чем мне на них - телнетом что-ли ходить Он же небезоспастный Кто-то может ук, пох., 06-Ноя-20, 20:34 (58) //
  - Да ты философ , microsoft, 06-Ноя-20, 21:29 (62)
- Это на тот случай, если твой хост вдруг стал вредоносным Скажем, у другого чело, Рмшъ, 06-Ноя-20, 22:54 (68)
- Незачем Но тебе никто и не предлагал , Ordu, 06-Ноя-20, 23:15 (71)
Каждый раз ржу с этих переполняемых дырищ, Аноним, 06-Ноя-20, 22:26 (67) //
- Напиши лучше и без дырищ , Аноним, 06-Ноя-20, 22:57 (70) //
  - Деньги будешь плотить, или как всегда , Аноним, 08-Ноя-20, 15:00 (90) //
    - Стулья вперёд , Michael Shigorin, 08-Ноя-20, 17:59 (93)
- Было бы очень интересно посмотреть на твои проекты, которые без дырищ и хотя бы , OpenEcho, 07-Ноя-20, 00:44 (74) //
  - Всегда ржу с людей, которые, испытывая баттхёрт, достают из широких штанин аргум, Ordu, 07-Ноя-20, 02:28 (76) //
    - Не бзди, ты просто всегда ржёшь Наверное даже справка есть, Аноним, 07-Ноя-20, 09:56 (79)
      - Ну я хожу на опеннет за этим, так что ничего удивительного Нет, у меня с врачами, Ordu, 07-Ноя-20, 11:27 (81)
там эта дыра такая не одна, нутром чую - а доказать не могуж дебажится он нелегк, Аноним, 07-Ноя-20, 05:30 (77)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру