forum.opennet.ru

"Выпуск GNU inetutils 2.5 с устранением уязвимости в suid-приложениях"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Выпуск GNU inetutils 2.5 с устранением уязвимости в suid-при..."	+/–
Сообщение от Аноним (15), 30-Дек-23, 12:44
Проверять? У тебя тоже такого кода напихано? if(-1==(rlen=read(fd,buf,bufsiz-1))){perror("can't read");_exit(EXIT_FAILURE);} else { buf[bufsiz-1]='\0'; buf[rlen]='\0'; } И такого? char varbuf[16]; char varbufp=varbuf; unsigned char vari=0; for(char bufp=buf;bufp!='\0';bufp++) { if (bufp==' '\|\|bufp=='\n') { if (varbufp==varbuf) continue; else { varbufp='\0'; var[vari++]=atoi(varbuf); varbufp=varbuf; continue; } } } varbufp++=*bufp;
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Выпуск GNU inetutils 2.5 с устранением уязвимости в suid-приложениях, opennews, 30-Дек-23, 10:01 [смотреть все]

По-моему, такая же петрушка с unshare Не помню, почему не работало, но в итоге , Аноним, 30-Дек-23, 10:02 (2)
Плин, ну как так-то Я даже в своём совсем уж вспомогательном хламе на пыхе резу, Tron is Whistling, 30-Дек-23, 11:06 (3) //
- Причём не только наличие ошибки, а то, что целевые uid gid реально встали , Tron is Whistling, 30-Дек-23, 11:07 (4) //
  - Вот ты даже на пыхе проверяешь, а ылитка из лучших погромистов-системщиков - нет, Аноним, 30-Дек-23, 11:25 (6) //
    - а что проверялка правильно проверила - уверен, наверняка - не проверяет шах и м, нах., 30-Дек-23, 13:13 (24)
      - Проверялку для проверялки городить не стал - иначе придется потому проверялку дл, Tron is Whistling, 30-Дек-23, 14:45 (40)
        
        действительно эх, а казался ведь грамотнымНу уровень опеннета - он теперь вес, нах., 30-Дек-23, 15:02 (44)
        
        ext posix это реально простейшие обертки вокруг стандартных функций, кроме их вы, Аноним, 30-Дек-23, 22:37 (91)
        
        проблема именно в пхп от рута Он никогда на это не рассчитывался, там есть пол-м, нах., 31-Дек-23, 22:19 (102)
        
        Эх, вот бы были языки с доказанной корректностью, правда , Аноним, 30-Дек-23, 15:44 (46)
  - ну чем бы конечно дитя не тешилось Я даже могу нафантазировать такую уникальную, нах., 30-Дек-23, 13:12 (23) //
    - Ну, оно просто реально критичное Если оно правильно не встанет, даже вот так во, Tron is Whistling, 30-Дек-23, 14:34 (36)
      - то у тебя в системе уже й ный п-ц творится И если бы это не был код на пехепе-, нах., 30-Дек-23, 15:05 (45)
- Писали деды В то время не было принято ошибки проверять, это философия UNIX - , Аноним, 30-Дек-23, 11:25 (7) //
  - Да я так-то тоже дiд уже, но бл , это ж критическая операция , Tron is Whistling, 30-Дек-23, 11:48 (10) //
    - Дело не в дедовстве, а в том, что гну писалось не самыми умными студентами буква, Аноним, 30-Дек-23, 11:56 (11)
      - Это писалось элитой из BSD , Аноним, 30-Дек-23, 12:06 (13)
        
        Илитой , Аноним, 30-Дек-23, 13:05 (19)
        Так это и есть та студенческая илита, писала за зачеты , Аниме, 30-Дек-23, 21:36 (87)
        
        9 из 10 современных студентов с трудом пишут что-то сложнее print hello world ,, qwerty123, 31-Дек-23, 10:30 (99)
        
        Намекаешь на то, что в GNU ничего не сделали вообще Лучше тогда разработчик Рик , Аноним, 31-Дек-23, 10:28 (98)
      - Зато ЧСВ у многих из них до небес А вот я писал целое ГНУ, я гуру , фнон, 30-Дек-23, 12:12 (14)
    - А тебе в опенсорсе никто ничего не должен бгг И фанатики запретят даже осуждат, фнон, 30-Дек-23, 11:57 (12)
- Проверять У тебя тоже такого кода напихано if -1 rlen read fd,buf,bufsiz-1 , Аноним, 30-Дек-23, 12:44 (15) //
  - последняя в конце, промахнулся, пока копировал, Аноним, 30-Дек-23, 12:45 (16) //
    - там ещё varbufp 0 в самом конце, я не знаю, зачем, Аноним, 30-Дек-23, 12:48 (17)
      - А вдрух , нах., 30-Дек-23, 13:07 (20)
      - Вспоминается анекдот времен ассемблера - Зачем программист пишет два jmp подряд, фнон, 30-Дек-23, 13:46 (26)
        
        Ээээ, анекдот до сих пор жив В VS2019 как минимум, если выключить оптимизацию , Tron is Whistling, 30-Дек-23, 14:41 (38)
- Какой пых Suid только на бинарных файлах обрабатывается , Хрысь, 30-Дек-23, 14:37 (37) //
  - Речь не о suid-битах , Tron is Whistling, 30-Дек-23, 14:41 (39)
- Толсто , Аноним, 30-Дек-23, 11:46 (9)
- Этот код из BSD, т ч мимо , Аноним, 30-Дек-23, 13:17 (25) //
  - Я не зря добавил про украденный и заброшенный Напоминаю, что традиции красть , Аноним, 30-Дек-23, 14:26 (32) //
    - Ага, а я добавлю, что Гослинг сам предоставил неограниченные права на свой код , Аноним, 30-Дек-23, 16:02 (47)
      - Это полная брехня, не вводи людей в заблуждение Есть показания самого Гослинга , Аноним, 30-Дек-23, 16:17 (48)
        
        А по-моему, это вы вводите людей в заблуждение Конечно Гослинг не хотел судитьс, Аноним, 30-Дек-23, 16:54 (49)
        
        Читай первоисточники, а не спекуляции самих гнутых https archive computerhist, Аноним, 30-Дек-23, 17:16 (52)
        
        С удовольствием почитаю Хотя первоисточником я бы это не назвал На 100 украст, Аноним, 30-Дек-23, 17:36 (59)
        
        Мог и украл Эту версию начали распространять IBM и DEC, из-за чего Unipress под, Аноним, 30-Дек-23, 17:47 (64)
        
        Для полноты картины прилеплю сюда версию Столмана https www gnu org philosoph, Аноним, 30-Дек-23, 19:39 (69)
        
        Распространять никто не запрещал Но копирайты перебивать было наглостью Код ему, Аноним, 31-Дек-23, 09:30 (96)
    - О, напомнило не столь давнюю историю 2007 undeadly org cgi action article sid 2, fyjy, 30-Дек-23, 16:56 (50)
      - Ну поменять лицензию на GPL он конечно имел право, хотя тесксты bsd лицензии при, Аноним, 30-Дек-23, 17:18 (53)
софт от гну давно пора закапывать , Sw00p aka Jerom, 30-Дек-23, 13:04 (18) //
- В нём ошибок не больше и не меньше, чем в других проектах , Аноним, 30-Дек-23, 13:08 (22) //
  - Уровень качества ниже, уровень поддержки ниже Не надо релятивизм не всё так од, Аноним, 30-Дек-23, 14:28 (34) //
    - А прям такой искперд качества, что твоё личное заключение решающее , Аноним, 30-Дек-23, 17:43 (62)
      - Решающее заключение в таких вот новостях и в целом в векторе развития гну утилит, Аноним, 30-Дек-23, 20:02 (73)
        
        на опеннете кто угодно может предложить новость, так что не аргумент , Аниме, 30-Дек-23, 21:38 (88)
  - да дело тут даже не в ошибках, тут в архитектуре проблема Зачем строить програм, Sw00p aka Jerom, 30-Дек-23, 17:26 (55) //
    - Не в архитектуре проблема, не надо уводить в технику Проблема в конкретных людя, Аноним, 30-Дек-23, 20:04 (74)
      - Давно известно у кого нет сомнений Подрастай скорее мамкинхакер , _, 30-Дек-23, 21:03 (77)
    - Хммм То есть ты хочешь контупер и его ОЗЪ построенные не на принципе вертикаль, _, 30-Дек-23, 21:01 (76)
      - Ян Лукасевич и тернарная логика, смотрят на тебя как на неуча Но пред оратор в ч, Аноним, 30-Дек-23, 21:23 (84)
        
        обратно-совместимой пытался сделать Бенц повозку без лошадей , Sw00p aka Jerom, 30-Дек-23, 23:36 (94)
      - Во, дошло хоть до кого-то аплодирую стоя Все ресурсы доступны всем прикладным , Sw00p aka Jerom, 30-Дек-23, 23:34 (93)
      - у вас там сетевые порты привилегированные , Sw00p aka Jerom, 31-Дек-23, 00:02 (95)
А почему для их использования нужен рут, а не привилегия Почему в линуксе нет м, Аноним, 30-Дек-23, 13:58 (28) //
- В линуксе есть Но этот код заимствован из другой оси , Аноним, 30-Дек-23, 14:03 (29) //
  - А причём тут заимствован Для сетевых операций CAP_NET_ADMIN вместо гранулярно, Аноним, 30-Дек-23, 14:22 (31) //
    - Да потому что код сп 235 рли во времена царя гороха, неужели не понятно Поддер, Аноним, 30-Дек-23, 14:29 (35)
- потому что если начать на каждый отправляемый пакет проверять а можно ли этому , нах., 30-Дек-23, 17:37 (60)
- Linux Capabilitiesman capabilities Starting with Linux 2 2, Linux divides the pr, Аноним, 30-Дек-23, 17:38 (61) //
  - Таки - да НО И Думаешь хоть кто то причёсывал - , _, 30-Дек-23, 21:07 (78)
Зажожу на https lists gnu org archive html bug-inetutils 2023-07 msg00000 html, Аноним, 30-Дек-23, 14:18 (30)
Вообще функции setuid и сотоварищи из стандартной библиотеки реализованы неправи, Аноним, 30-Дек-23, 14:26 (33) //
- Вообще функции setuid и сотоварищи из стандартной библиотеки реализованы неправи, Tron is Whistling, 30-Дек-23, 14:48 (41) //
  - Грустно Программеры СССР в наших краях сильно ценились А вот програмЁзы из РФ, _, 30-Дек-23, 21:12 (79) //
    - Ну вон даже маститые забыли Но да, в целом ужасаюсь, насколько про это забывают , Tron is Whistling, 30-Дек-23, 21:28 (86)
    - Между что и то забыли пробел, любитель красивых жестов, троеточий, обедняющих ре, швондер, 31-Дек-23, 15:27 (101)
- А вообще если надо просто паниковать - один assert - это же так сложно, да , Tron is Whistling, 30-Дек-23, 14:50 (42) //
  - gcc -DNDEBUG для пущего быстродействияИ все ваши assert идут в dev null, sig11, 30-Дек-23, 17:03 (51) //
    - Так, первый пошёл my_assert -то, это ж вообще rocket science Знание, доступное, Tron is Whistling, 30-Дек-23, 21:13 (80)
    - Доктор Когда я делаю ВОТ ТАК - мне больно - пОцЫент А вы ТАК - не дела, _, 30-Дек-23, 21:17 (81)
      - Да не, всё правильно, так стоит делать в релизных сборках вообще Другое дело, чт, Tron is Whistling, 30-Дек-23, 21:26 (85)
    - И вот здесь кстати да, я уже сам негодую - за аннигиляцию assert с NDEBUG придум, Tron is Whistling, 30-Дек-23, 21:22 (83)
      - Ну дiды - тоже всего лишь люди К тому же когда они ЭТО писали - у них ещё бат, _, 30-Дек-23, 22:50 (92)
        
        Бгг моя последняя сессия на батоне была примерно 20 лет назад тому Но да, я не, Tron is Whistling, 31-Дек-23, 10:42 (100)
- типичный - никакой неудачи просто быть не может В обычной системе ну или буде, нах., 30-Дек-23, 17:33 (58) //
  - Да ничего странного, даже в случае банального omg pam и просто не менее omfg , Tron is Whistling, 30-Дек-23, 21:17 (82) //
    - pam не имеет никакого отношения к обработке setuid setreuidnsswitch теоретически, нах., 31-Дек-23, 22:26 (103)
Трудно разобратся с кашей в голове у хейтеров GNU Код украден из BSD, но в уязв, Аниме, 30-Дек-23, 21:46 (89) //
- Перебивка копирайтов это по твоему лицензия позволяет это , Аноним, 30-Дек-23, 22:36 (90)
- А с кашей у свидетелей всё с нуля и хейтеров BSD ещё труднее В BSD код уже до, Аноним, 31-Дек-23, 10:14 (97)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру