forum.opennet.ru

"Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

"Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем"	+/–
Сообщение от opennews (??), 24-Авг-23, 09:55
В приложении openSUSE-welcome, применяемом в дистрибутиве openSUSE для ознакомления новых пользователей с особенностями системы, выявлена уязвимость (CVE-2023-32184), позволяющая выполнить код с правами другого пользователя. Приложение openSUSE-welcome запускается автоматически после первого входа пользователя в систему и в случае выбора графического окружения Xfce предлагает возможность включения альтернативных вариантов раскладки элементов на рабочем столе. Обработчик, выполняющий выбор раскладки, некорректно обрабатывал временные файлы, что позволяло другому пользователю организовать выполнение своего кода с правами жертвы, перешедшего к выбору раскладки рабочего стола Xfce... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59651
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость в приложении openSUSE-welcome, позволяющая выполнить код под другим пользователем, opennews, 24-Авг-23, 09:55 [смотреть все]

Добро пожаловать, вот вам backdoor, soarin, 24-Авг-23, 09:59 (2)
Веский довод за удаление бессмысленных приложений Которых немало хоть в Linux, , Аноним, 24-Авг-23, 10:07 (3)
Да где ж это виданно, на Питоне ошибки обрабатывать Это чуть ли не ересь Шутка, _kp, 24-Авг-23, 10:17 (4) //
- Это не питон Скрипт на питоне вызывается вот отсюда, без проверки того что вход, Аноним, 24-Авг-23, 10:22 (5)
- Питон использует исключения, поэтому не обработать ошибку в данном случае - при, Аноним, 24-Авг-23, 14:45 (30) //
  - Как показали эксперименты, самая типовая реакция питоноскриптов на ошибку - заби, Аноним, 25-Авг-23, 06:57 (44) //
    - Нет сети - нет апдейтов, вроде все логично libastral в питон еще не завезли Но, Аноним, 25-Авг-23, 09:59 (46)
      - При том сеть может как таковая быть Что самое то издевательское Но нормально с, Аноним, 25-Авг-23, 19:45 (47)
Прикольный патч if result 0 TODO something went wrong, display e, Анонин, 24-Авг-23, 11:15 (9) //
- Дорвался питоняша до си и привычно спитонячил в плюсоте так спитонячить мож, Аноним, 26-Авг-23, 03:55 (51)
Опять сишники OH SH--, 1, 24-Авг-23, 11:25 (10) //
- конечно не сишники, файл то panellayouter cppно кто будет разбираться в двух сор, Аноно, 24-Авг-23, 14:12 (28) //
  - вот вам аргумент, почему во всём виноваты растофилы не программисты и прочие м, FF, 24-Авг-23, 15:11 (31) //
    - А ниче, что нас 40 лет назад еще не было 40 лет назад запилили б 822 ы 822 д, Анонимусс, 24-Авг-23, 17:10 (35)
      - Да вас и Раст наверно перерос Было бы очень смешно, если бы про прод жээсник нап, FF, 24-Авг-23, 21:35 (40)
  - это не сищники это ПЛЮСЫ ды ещё в добавок и Qt и патч -- говно человек явно н, Аноним, 24-Авг-23, 16:39 (33) //
    - Судя по патчу он питон, си и информационную безопасность знает примерно одинак, Аноним, 25-Авг-23, 07:00 (45)
Всё логично, вход для одного является выходом для другого - , Getfor, 24-Авг-23, 11:48 (11)
ужасный код, никакой культуры разработки , Аноним, 24-Авг-23, 11:57 (12) //
- Не то что твой однострочный хеллоуворлд на всех языках мира , Аноним, 24-Авг-23, 12:28 (24) //
  - Не надо быть гением, чтобы поддерживать культуру разработки Врубаешь автоформат, Аноним, 24-Авг-23, 12:45 (26)
  - Почему нет Обеспечь кроссплатформерность Определи язык системы и подставь нужн, Аноним, 24-Авг-23, 12:58 (27)
Так линукс и есть сплошная локальная уязвимость, берёшь любой live-дистрибутив, , Бульдох, 24-Авг-23, 12:00 (13) //
- Тоже самое можно проделать и на форточках да и не только , имея под руками любо, Аноним, 24-Авг-23, 12:23 (21)
- А можно и вообще подтереть nvram на материнке или каком-то подключённом устройст, Аноним, 24-Авг-23, 12:24 (22)
- Даже на десятилетнем i7 2700k нет никаких тормозов с полным шифрованием всего и , Аноним, 24-Авг-23, 12:26 (23)
Если сторонний человек может делать что угодно в вашем tmp, то как бы уже поздн, Аноним, 24-Авг-23, 14:12 (29) //
- Кстати да Ну наверное можно создавать там попачки и файлы под конкретным юзером , Аноньимъ, 24-Авг-23, 16:22 (32)
- нет tmp блюдёт правила, которые позволяют работатьс этим катологом так что это , Аноним, 24-Авг-23, 16:43 (34) //
  - Права чернокожих Если tmpfs без noexec, то считай все Верно заметил анон про б, Аноним, 24-Авг-23, 17:46 (36)
- Лет так 40 пили боржоми и вдруг стало поздно На tmp, между прочим, стоит sticky, Аноним, 24-Авг-23, 18:29 (37) //
  - Боже, насколько же это древнее дерьмо , Аноним, 24-Авг-23, 19:00 (39) //
    - Что, окаменело, через соломинку не проходит, привыкли посвежее , Аноним, 25-Авг-23, 02:08 (41)
    - Чувак, ты машину водить умеешь Электричеством пользуешься На поезде ездишь Са, Аноним, 25-Авг-23, 19:55 (48)
      - Ага, а императрица Мария Феодоровна вообще электромобилем владела не шутка и не, ZloySergant, 25-Авг-23, 21:50 (50)
После установки openSUSE Leap 15 4 15 5 я вот эту лишнюю х ню удаляю sudo zyp, Аноним, 24-Авг-23, 18:54 (38) //
- Да вообще-то всю ненужную пакость имеет смысл удалять или не ставить изначально , Аноним, 25-Авг-23, 19:57 (49)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру