forum.opennet.ru

"Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость BatBadBut, затрагивающая стандартные библиотеки р..."	–2 +/–
Сообщение от Аноним (37), 10-Апр-24, 14:53
>В Rust 1.77.2 в стандартную библиотеку добавлена дополнительная проверка, возвращающая ошибку при наличии в аргументе запускаемого сценария спецсимволов, которое невозможно гарантированно безопасно экранировать. Для разработчиков, самостоятельно реализующих логику экранирования предоставлен метод CommandExt::raw_arg, полностью отключающий экранирование на стороне библиотечных вызовов. То есть уязвимость как бы закрыта, но все равно остается возможность прострелить себе ногу. А те кто не экранировали ввод с raw_arg и с ним не будут. Вот такая она безопасность, в основном на словах.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования, opennews, 10-Апр-24, 11:05 [смотреть все]

А ещё остались люди, кто серваки на винде держит , Шарп, 10-Апр-24, 11:05 (1) //
- Это будет использоваться не на серваках, совсем не на серваках Вернее, подозрева, Аноним, 10-Апр-24, 11:12 (2)
- В mission critical сегменте куча винды , Анон666, 10-Апр-24, 11:12 (3) //
  - Прям настолько жёстком , Аноним, 10-Апр-24, 11:24 (6) //
    - Не, жесткое это mission impossible , Минона, 10-Апр-24, 22:59 (65)
  - Вот только на винде бы mission critical и делать, да , Аноним, 10-Апр-24, 23:34 (66)
  - Пример Йорктауна так никого ничему и не научил , Аноним, 10-Апр-24, 23:42 (67) //
    - О чём речь , Аноним, 18-Апр-24, 07:11 (84)
- Apache c PHP 5 под 98 виндой гоняю на ретропк, наполняю базу данных через Web-мо, Аноним, 10-Апр-24, 11:53 (12)
- Еще осталось очень много людей, а среди них каких только нет, есть даже такие, к, Аноним, 10-Апр-24, 19:42 (58)
- Печально, когда и если ещё и батнички живы Такая махровая халтура и так долго, Аноним, 15-Апр-24, 22:23 (83)
Правильный заголовок будет Уязвимость BatBadBut, затрагивающая стандартные библ, Аноним, 10-Апр-24, 11:13 (4) //
- Как хорошо что в линуксе нет башскиптов, которые могут и рут подарить, и обфуцир, Аноним, 10-Апр-24, 12:00 (14) //
  - При чем тут скрипты вообще ЗыжВот взял и раст скриптами обозвалДа так любой экзе, Анании.orig, 10-Апр-24, 14:15 (36)
  - И питонятины повсюду тоже нет , Аноним, 10-Апр-24, 16:05 (43)
  - В линуксе даже и обход антивируса gmail из коробки стоит ,бггг, AKTEON, 10-Апр-24, 20:48 (61)
  - После ввода пароля рута Только те, с правами которых запущен процесс А ты хотел, Аноним, 11-Апр-24, 15:07 (72)
Не понял, а что Rust ещё и в качестве интерпретатора используется , Аноним, 10-Апр-24, 11:18 (5) //
- в Windows любой экзешник превращается в интерпретатор, ананим.orig, 10-Апр-24, 16:13 (44)
Что, Fabric уже посчитали одной большой уязвимостью , Аноним, 10-Апр-24, 11:28 (7)
Мдее, Раст и иже с ними оказались дырявыми совсем не в том месте где ожидалось , bOOster, 10-Апр-24, 11:42 (8)
Не, ну это не серьезно И вообще, какое отношение виндопроблемы имеют к этому с, Аноним, 10-Апр-24, 11:43 (9) //
- Rust, node js, Python, Ruby, Go, Erlang и Haskell уже перестали быть открытыми , Аноним, 10-Апр-24, 12:05 (17) //
  - Не перестали И Проблема из новости характерна исключительно для винды И это вин, Аноним, 10-Апр-24, 12:16 (21) //
    - Почему же не интересуют После тонны линуксовых дыр очень приятно почитать, что , Анониссимус, 10-Апр-24, 18:09 (54)
      - Закрытых дыр И останется во веки веков , Аноним, 11-Апр-24, 15:03 (71)
- Для опеннета эта новость скорее характерна , Аноним, 12-Апр-24, 13:08 (82)
Для хаскеля уже есть патч В списке еще забыли жабу Они оригинально решили пробл, Аноним, 10-Апр-24, 11:48 (10) //
- Проблемы индейцев шерива не волбуют, Массоны Рептилоиды, 10-Апр-24, 12:30 (24)
Это же не баг, а фича , Аноним, 10-Апр-24, 11:52 (11)
Столько лет - и всё одно и то же я разраб, мне так удобно, программа поставляе, Аноним, 10-Апр-24, 12:34 (25)
Что бы могло сработатать, надо запускать экзешник, указав его имя без расширения, n00by, 10-Апр-24, 13:30 (28) //
- С другой стороны никто ж не запрещает делать такrm -rf usr lib nvidia-current , Аноним, 10-Апр-24, 13:50 (33) //
  - почему неrm -rf usr lib nvidia-current xorg xorg , балдымалдыбар, 10-Апр-24, 17:40 (53) //
    - Потому-что это мем про код из бамблби насколько помню , Зазнайка, 10-Апр-24, 21:07 (62)
  - В Винде для запуска чего ни попадя есть ShellExecute , n00by, 10-Апр-24, 19:23 (55)
Уже 12 часов назад вроде пофиксили в Rust 1 77 2 , Пряник, 10-Апр-24, 13:49 (31) //
- А сколько там еще уязвимостей и бэкдоров не пофикшено и тихо ждут своего времени, Аноним, 10-Апр-24, 14:55 (38) //
  - В windows За десятилетия не разгрести, но ms-индусы не спешат, и потому приходи, Аноним, 10-Апр-24, 15:55 (39)
Раст безопасный, говорили ониРаст не имеет уязвимостей, говорили они, Аноним, 10-Апр-24, 13:50 (32) //
- Так в Расте и нет, а вот в windows api CreateProcess есть , Аноним, 10-Апр-24, 15:56 (40)
В конце названия уязвимости еще одной буквы t не хватает, DiabloPC, 10-Апр-24, 14:00 (34)
То есть уязвимость как бы закрыта, но все равно остается возможность прострелить , Аноним, 10-Апр-24, 14:53 (37) //
- Делаешь поехавшим безопасно - верещат про ограничения Даёшь полный контроль - в, Аноним, 10-Апр-24, 15:58 (41) //
  - Это две совершенно разных категории попрыгавших Причём вторая куда опаснее , Tron is Whistling, 10-Апр-24, 17:09 (51) //
    - Может и так, но слышно их одинаково громко, Зазнайка, 10-Апр-24, 21:09 (64)
- У microsoft в windows Не наговаривайте - birdie нам вещал, что там нет бекдоров, Аноним, 10-Апр-24, 15:59 (42)
вот прикол то есть на венде Ядро передаёт СТРОКУ в процесс а не СПИСОК_аргументо, Xasd7, 10-Апр-24, 16:52 (47) //
- Ядро там не передаёт в процесс строку Процесс создаётся из пространства пользов, n00by, 10-Апр-24, 19:33 (57) //
  - А запуск процесса от основного потока и создание дополнительных потоков выполняе, Аноним, 11-Апр-24, 14:59 (70) //
    - Процесс никуда не запускается - в Виндос это всего лишь изолированное от остальн, n00by, 12-Апр-24, 12:17 (80)
Зачем чинить уязвимости проявляющиеся только на венде Да ещё если это уязвимост, Аноним, 10-Апр-24, 17:04 (48) //
- Чтобы было безопасно Сейчас в моде безопасные языки, которое позволяют безопасн, Вы забыли заполнить поле Name, 10-Апр-24, 19:27 (56) //
  - Два чая этому господину Не сильно горячих, чтобы безопасно И наливать в безоп, DiabloPC, 10-Апр-24, 20:23 (60)
В чём проблема-то Всё описано в мануале Сколько раз при вызове system в NIX , 1, 10-Апр-24, 17:07 (49) //
- Они уже сделали такое открытие In fact CreateProcess actively documents against , n00by, 10-Апр-24, 19:50 (59)
Господа, приведите пожалуйста пример как на С правильно обрабатывать аргументы к, Аноним, 11-Апр-24, 17:11 (73) //
- man 3 getopt, Аноним, 11-Апр-24, 17:17 (74) //
  - А чем getopt безопаснее Тем более что у него только определённое применение Ра, Аноним, 11-Апр-24, 22:18 (76) //
    - Поищи CVE в getopt, если тебе нужен ответ Помню пару лет назад было что-то подо, Аноним, 11-Апр-24, 22:34 (77)
      - Ну вот так echo hello e c h o wo rld nя получу что-то такое 2 15915world , Аноним, 11-Апр-24, 23:19 (78)
        
        тебе надо не С, а какой-нибудь учебник по юникс-лайк системам для чайников для н, Аноним, 11-Апр-24, 23:46 (79)
- Как-то так int main int количествоАргументов, char аргументы if аргумен, Аноним, 11-Апр-24, 22:08 (75) //
  - А где аргументы могут быть NULL Вот требование стандарта If the value of argc, n00by, 12-Апр-24, 12:32 (81)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру