forum.opennet.ru - "Атака на системы online-компиляции через манипуляцию с загол..." (40)

"Атака на системы online-компиляции через манипуляцию с загол..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака на системы online-компиляции через манипуляцию с загол..."	+/–
Сообщение от opennews (??), 17-Дек-19, 21:53
Hanno Böck, автор проекта fuzzing-project.org, обратил внимание на уязвимость интерфейсов интерактивной компиляции, допускающих обработку внешнего кода на языке Си. При указании произвольного пути в директиве "#include" ошибка компиляции включает содержимое файла, который не удалось скомпилировать... Подробнее: https://www.opennet.me/opennews/art.shtml?num=52048
Ответить \| Правка \| Cообщить модератору

Оглавление

Хехе А вы всё про leftpad , Ан (??), 21:53 , 17-Дек-19, (1) +3

но тут же наверняка докер в докере в докере, это же - надежно, любой девляпс под, пох. (?), 21:56 , 17-Дек-19, (2) +9

Ещё как надёжно Любой залётный хакер помрёт прежде чем успеет что-то сделать И, Аноним (13), 00:46 , 18-Дек-19, (13) +8
А чего потом делать с паролем рута в докере где нет ничего кроме сервиса компиля, Аноним (-), 11:16 , 18-Дек-19, (23)

С каких это пор в слове дыркер появилась буква S и оно стало сикурной изоляц, Аноним (26), 13:57 , 18-Дек-19, (26) +1

Митрофанов, ты , Онаним (?), 14:12 , 18-Дек-19, (27) –1

Когда нечего возразить по существу, спрыгни на дешевую демагогию , Аноним (26), 14:23 , 18-Дек-19, (28) +1

Конкретно leafpad запускал все это в виртуалке Ограниченной по времени выполнен, Аноним (-), 07:42 , 19-Дек-19, (34)

А если туда прокинули var lib docker и контейнер privileged И прочая девляпс а, Ан даш м (?), 18:54 , 21-Дек-19, (42)

Погуглить онлайн це компайлер ведь никто не догадается, угу , Аноним84701. (?), 22:09 , 17-Дек-19, (3) +5

Так их там 3 штуки таких с одной только первой страницы поисковой выдачи , exSun (ok), 23:41 , 17-Дек-19, (9) +1
Кто-то подобрал пароль , xor (??), 22:10 , 18-Дек-19, (32)
как видишь хэша тут нет или ты подумал, что 14871 - это хэш а вот и нет, это д, Аноним (40), 20:09 , 19-Дек-19, (40)
root вообще без пароля Встречал такое ещё в chroot окружениях ещё в начале 2000, Аноним (41), 04:03 , 20-Дек-19, (41)

Помимо etc shadow, интересные эффекты можно наблюдать, включив dev zero или , Аноним (4), 22:54 , 17-Дек-19, (4) +7
Зачем такие извращения Нельзя ли просто скомпилировать программу, читающую что , Аноним (5), 23:00 , 17-Дек-19, (5) –1

Авторам сервисов обычно хватает мозгов не запускать программы пользователей от р, Аноним (4), 23:04 , 17-Дек-19, (6) +1

В GitLab контейнеры в аппаратных виртуалках работают от рута , Аноним (5), 00:30 , 18-Дек-19, (12) +1

И это теперь что, правильно и нормально , SOska (?), 08:53 , 18-Дек-19, (16)

Нет, неправильно Но что ещё остаётся для GitLaba Не дашь рут - часть программ , Аноним (5), 09:37 , 18-Дек-19, (17) +1

Господи, сколько же на свете идиотов , Аноним (7), 23:05 , 17-Дек-19, (7) +2

Надо подсчитать Начнём с тебя, neanonim (?), 08:57 , 19-Дек-19, (37) +2

чё за онлайн компиляция, б.б. (?), 23:08 , 17-Дек-19, (8) –1

поищи online compiler - там есть уже выбор Godbolt, Wandbox, Ideone , Андрей (??), 23:51 , 17-Дек-19, (10) +1
Почти все студенты нынче так контрольные делают, в онлайн-сервисах, где можно ск, Аноним (13), 23:59 , 17-Дек-19, (11) –1
Это может быть тупо билд-ферма с веб-интерфейсом Например, некоторые дистрибути, Аноним (18), 10:02 , 18-Дек-19, (18)

Можно ли подрубить туда свои мощности А то 8-ядерник простаивает Типа как расп, Аноним (15), 06:44 , 18-Дек-19, (15)
Не совсем понимаю как при помощи include можно текст вытащить Я немного потести, Аноним (19), 10:37 , 18-Дек-19, (19) –1

Новость не читай - комментарий отправляй Там всё написано - надо только до конца, 1 (??), 10:42 , 18-Дек-19, (20) +4

Ну либо я слепой, либо все же не написано, Аноним (19), 10:46 , 18-Дек-19, (21) –1
Окей, внутри самой статьи описано, что нужно отчет об ошибка смотреть Понял Осо, Аноним (19), 10:49 , 18-Дек-19, (22)

Многая лета https www opennet ru и Михаилу Уже было начал переживать , Аноним (25), 13:18 , 18-Дек-19, (25) +1

В смысле, Максиму , Аноним (29), 15:11 , 18-Дек-19, (29)
Только Михаилу Максим Чирков, создатель и владелец, не заслуживает доброго слова, Sluggard (ok), 15:12 , 18-Дек-19, (30)

В смысле обоим и Максиму также , Аноним (25), 15:55 , 18-Дек-19, (31)

Это походу Айхор колбасит - не только нжинксу достается На хостинге тоже какие-, Аноним (-), 07:47 , 19-Дек-19, (35)

При сравнительно недорогой стоимости виртуалок на Azure или Amazon новость чуть , Аноним (33), 02:45 , 19-Дек-19, (33) –1

Есть и подешевле этих Реально виртуалку можно за 1-2 бакса взять и там хоть обк, Аноним (-), 07:48 , 19-Дек-19, (36)

я чет не понял А где уязвимость то Испокон веков говорилось что сервисы нужно, Аноним (38), 17:08 , 19-Дек-19, (38)
php include _GET path , мяя (?), 17:08 , 19-Дек-19, (39)

Сообщения [Сортировка по времени | RSS]

1. "Атака на системы online-компиляции через манипуляцию с загол..." +3 +/–

Сообщение от Ан (??), 17-Дек-19, 21:53

Хехе. А вы всё про leftpad))).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Атака на системы online-компиляции через манипуляцию с загол..." +9 +/–

Сообщение от пох. (?), 17-Дек-19, 21:56

но тут же наверняка докер в докере в докере, это же - надежно, любой девляпс подтвердит?!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Атака на системы online-компиляции через манипуляцию с загол..." +8 +/–

Сообщение от Аноним (13), 18-Дек-19, 00:46

Ещё как надёжно. Любой залётный хакер помрёт прежде чем успеет что-то сделать. Из-за смеха.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (-), 18-Дек-19, 11:16

А чего потом делать с паролем рута в докере где нет ничего кроме сервиса компиляции? SSH там тоже нет! И вообще, можно скачать кучу образов контейнеров и виртуалок и изучать хэши паролей по вкусу. В многих авторы даже сообщают пароль, чтобы вообще зайти в этот образ можно было.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (26), 18-Дек-19, 13:57

> А чего потом делать с паролем рута в докере где нет ничего
> кроме сервиса компиляции? SSH там тоже нет! И вообще, можно скачать
> кучу образов контейнеров и виртуалок и изучать хэши паролей по вкусу.
> В многих авторы даже сообщают пароль, чтобы вообще зайти в этот образ можно было.
С каких это пор в слове "дыркер" появилась буква S и оно  стало "сикурной изоляцией"?
https://www.infosecurity-magazine.com/news/researchers-publi.../
> 20 NOV 2019 NEWS
> Researchers Publish PoC for Docker Escape Bug
https://www.opennet.me/opennews/art.shtml?num=50765
>  Уязвимость в Docker, позволяющая выбраться из контейнера
> 29.05.2019 11:15
https://www.opennet.me/opennews/art.shtml?num=50130
> Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции
> 11.02.2019 23:26
https://www.opennet.me/opennews/art.shtml?num=45848
> В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера
> 13.01.2017 11:28

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Онаним (?), 18-Дек-19, 14:12

Митрофанов, ты?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (26), 18-Дек-19, 14:23

> Митрофанов, ты?
Когда нечего возразить по существу, спрыгни на дешевую демагогию?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

34. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (-), 19-Дек-19, 07:42

> С каких это пор в слове "дыркер" появилась буква S и оно  стало "сикурной изоляцией"?
Конкретно leafpad запускал все это в виртуалке. Ограниченной по времени выполнения, после чего она сносится и откатывается на чистую. Поэтому делать там что-то кроме запуска тестового кода - как минимум неудобно и производительность хромает.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

42. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Ан даш м (?), 21-Дек-19, 18:54

> с паролем рута в докере где нет ничего кроме сервиса компиляции
А если туда прокинули /var/lib/docker и контейнер privileged. И прочая девляпс ахинея.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

3. "Атака на системы online-компиляции через манипуляцию с загол..." +5 +/–

Сообщение от Аноним84701. (?), 17-Дек-19, 22:09

> Проблемный сервис, в котором удалось воспроизвести проблему, пока не афишируется.
Погуглить "онлайн це компайлер" ведь никто не догадается, угу.
> In file included from main.c:2:
> /etc/shadow:1:5: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘:’ token
>    1 | root::14871::::::

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от exSun (ok), 17-Дек-19, 23:41

Так их там 3 штуки таких с одной только первой страницы поисковой выдачи...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

32. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от xor (??), 18-Дек-19, 22:10

Кто-то подобрал пароль?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

40. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (40), 19-Дек-19, 20:09

как видишь хэша тут нет. или ты подумал, что 14871 - это хэш? а вот и нет, это дата смены пароля

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

41. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (41), 20-Дек-19, 04:03

root вообще без пароля?
Встречал такое ещё в chroot окружениях (ещё в начале 2000, наверное).
Рутом залогинится нельзя, но если зашел пользователем, то можно сделать su - root и пароль не спросят.
Или тут какими-нибудь PAM'ами ограничено?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Атака на системы online-компиляции через манипуляцию с загол..." +7 +/–

Сообщение от Аноним (4), 17-Дек-19, 22:54

Помимо etc/shadow, интересные эффекты можно наблюдать, включив </dev/zero>:
> cc1plus: out of memory allocating 17179869200 bytes after a total of 413696 bytes
или </etc/ssh/ssh_host_rsa_key>:
> /etc/ssh/ssh_host_rsa_key:1:1: error: expected unqualified-id before
> '--' token
> -----BEGIN RSA PRIVATE KEY-----

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Аноним (5), 17-Дек-19, 23:00

Зачем такие извращения? Нельзя ли просто скомпилировать программу, читающую что нужно откуда нужно?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (4), 17-Дек-19, 23:04

Авторам сервисов обычно хватает мозгов не запускать программы пользователей от рута. Автор поста же, в свою очередь, призывает не запускать компилятор от рута

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (5), 18-Дек-19, 00:30

В GitLab контейнеры в аппаратных виртуалках работают от рута...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от SOska (?), 18-Дек-19, 08:53

И это теперь что, правильно и нормально?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (5), 18-Дек-19, 09:37

Нет, неправильно. Но что ещё остаётся для GitLaba. Не дашь рут - часть программ отвалится.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

7. "Атака на системы online-компиляции через манипуляцию с загол..." +2 +/–

Сообщение от Аноним (7), 17-Дек-19, 23:05

Господи, сколько же на свете идиотов...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Атака на системы online-компиляции через манипуляцию с загол..." +2 +/–

Сообщение от neanonim (?), 19-Дек-19, 08:57

Надо подсчитать... Начнём с тебя

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от б.б. (?), 17-Дек-19, 23:08

чё за онлайн компиляция

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Андрей (??), 17-Дек-19, 23:51

поищи "online compiler" - там есть уже выбор. Godbolt, Wandbox, Ideone.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Аноним (13), 17-Дек-19, 23:59

Почти все студенты нынче так контрольные делают, в онлайн-сервисах, где можно скомпилировать что-нибудь. Когда-то все делали странички со снежинками на JS, а теперь с каким-нибудь окошком для запуска Python.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (18), 18-Дек-19, 10:02

Это может быть тупо билд-ферма с веб-интерфейсом. Например, некоторые дистрибутивы линукса собираются "в онлайне". Ты можешь следить за сборкой и даже менять исходники прямо из браузера. Конечно, это не единственный способ, и часто даже не основной, но тем не менее такая возможность присутствует. Можно ли назвать это "системой online-компиляции"? Наверное.
Примеры:
https://copr.fedorainfracloud.org/
https://build.opensuse.org/

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (15), 18-Дек-19, 06:44

> системы online-компиляции
Можно ли подрубить туда свои мощности? А то 8-ядерник простаивает. Типа как распределённые вычисления, только чтобы тебе за них платили. И можно ли компилировать виндовые программы? А то линуксовые компилировать просто - всегда и везде есть GCC - а в винде я понятия не имею, как компилировать. Может в онлайн-сервисах это так же просто, как в линуксе сделать make?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Аноним (19), 18-Дек-19, 10:37

Не совсем понимаю как при помощи #include можно текст вытащить?
Я немного потестил, но если в файле конкретно не указан текст в "", то при компиляции все падает.
Какие есть фишки по этому поводу в С?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Атака на системы online-компиляции через манипуляцию с загол..." +4 +/–

Сообщение от 1 (??), 18-Дек-19, 10:42

Новость не читай - комментарий отправляй.
Там всё написано - надо только до конца дочитать.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Аноним (19), 18-Дек-19, 10:46

Ну либо я слепой, либо все же не написано

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (19), 18-Дек-19, 10:49

Окей, внутри самой статьи описано, что нужно отчет об ошибка смотреть.
Понял. Осознал. Благодарю)

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "Атака на системы online-компиляции через манипуляцию с загол..." +1 +/–

Сообщение от Аноним (25), 18-Дек-19, 13:18

Многая лета https://www.opennet.me/ и Михаилу! Уже было начал переживать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (29), 18-Дек-19, 15:11

> Многая лета https://www.opennet.me/ и Михаилу!
В смысле, Максиму?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Sluggard (ok), 18-Дек-19, 15:12

Только Михаилу?
Максим Чирков, создатель и владелец, не заслуживает доброго слова? )

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (25), 18-Дек-19, 15:55

В смысле обоим и Максиму также.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (-), 19-Дек-19, 07:47

Это походу Айхор колбасит - не только нжинксу достается. На хостинге тоже какие-то крышевые работы нынче - хабр читай. Хабр кстати тоже на .com почему-то предусмотрительно всех редиректит. Видимо боится отжима .ru :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Атака на системы online-компиляции через манипуляцию с загол..." –1 +/–

Сообщение от Аноним (33), 19-Дек-19, 02:45

При сравнительно недорогой стоимости виртуалок на Azure или Amazon новость чуть более чем полностью бессмысленная.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (-), 19-Дек-19, 07:48

Есть и подешевле этих. Реально виртуалку можно за 1-2 бакса взять и там хоть обкомпилиться.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от Аноним (38), 19-Дек-19, 17:08

я чет не понял... А где уязвимость то?
Испокон веков говорилось что сервисы нужно chroot-тить или запускать под отдельным пользователем.
В соверменном мире вообще запускают отдельные виртуалки для всего одной службы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Атака на системы online-компиляции через манипуляцию с загол..." +/–

Сообщение от мяя (?), 19-Дек-19, 17:08

<?php include($_GET['path']); ?>

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атака на системы online-компиляции через манипуляцию с загол..."	+3 +/–
Сообщение от Ан (??), 17-Дек-19, 21:53
Хехе. А вы всё про leftpad))).
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Атака на системы online-компиляции через манипуляцию с загол..."	+9 +/–
	Сообщение от пох. (?), 17-Дек-19, 21:56
	но тут же наверняка докер в докере в докере, это же - надежно, любой девляпс подтвердит?!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	13. "Атака на системы online-компиляции через манипуляцию с загол..."	+8 +/–
	Сообщение от Аноним (13), 18-Дек-19, 00:46
	Ещё как надёжно. Любой залётный хакер помрёт прежде чем успеет что-то сделать. Из-за смеха.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	23. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Аноним (-), 18-Дек-19, 11:16
	А чего потом делать с паролем рута в докере где нет ничего кроме сервиса компиляции? SSH там тоже нет! И вообще, можно скачать кучу образов контейнеров и виртуалок и изучать хэши паролей по вкусу. В многих авторы даже сообщают пароль, чтобы вообще зайти в этот образ можно было.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	26. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Аноним (26), 18-Дек-19, 13:57
	> А чего потом делать с паролем рута в докере где нет ничего > кроме сервиса компиляции? SSH там тоже нет! И вообще, можно скачать > кучу образов контейнеров и виртуалок и изучать хэши паролей по вкусу. > В многих авторы даже сообщают пароль, чтобы вообще зайти в этот образ можно было. С каких это пор в слове "дыркер" появилась буква S и оно стало "сикурной изоляцией"? https://www.infosecurity-magazine.com/news/researchers-publi.../ > 20 NOV 2019 NEWS > Researchers Publish PoC for Docker Escape Bug https://www.opennet.me/opennews/art.shtml?num=50765 > Уязвимость в Docker, позволяющая выбраться из контейнера > 29.05.2019 11:15 https://www.opennet.me/opennews/art.shtml?num=50130 > Уязвимость в runc и LXC, затрагивающая Docker и другие системы контейнерной изоляции > 11.02.2019 23:26 https://www.opennet.me/opennews/art.shtml?num=45848 > В Docker 1.12.6 устранена уязвимость, позволяющая выбраться из контейнера > 13.01.2017 11:28
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	27. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
	Сообщение от Онаним (?), 18-Дек-19, 14:12
	Митрофанов, ты?
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Аноним (26), 18-Дек-19, 14:23
	> Митрофанов, ты? Когда нечего возразить по существу, спрыгни на дешевую демагогию?
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	34. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Аноним (-), 19-Дек-19, 07:42
	> С каких это пор в слове "дыркер" появилась буква S и оно стало "сикурной изоляцией"? Конкретно leafpad запускал все это в виртуалке. Ограниченной по времени выполнения, после чего она сносится и откатывается на чистую. Поэтому делать там что-то кроме запуска тестового кода - как минимум неудобно и производительность хромает.
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	42. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Ан даш м (?), 21-Дек-19, 18:54
	> с паролем рута в докере где нет ничего кроме сервиса компиляции А если туда прокинули /var/lib/docker и контейнер privileged. И прочая девляпс ахинея.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору

3. "Атака на системы online-компиляции через манипуляцию с загол..."	+5 +/–
Сообщение от Аноним84701. (?), 17-Дек-19, 22:09
> Проблемный сервис, в котором удалось воспроизвести проблему, пока не афишируется. Погуглить "онлайн це компайлер" ведь никто не догадается, угу. > In file included from main.c:2: > /etc/shadow:1:5: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘:’ token > 1 \| root::14871::::::
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от exSun (ok), 17-Дек-19, 23:41
	Так их там 3 штуки таких с одной только первой страницы поисковой выдачи...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	32. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от xor (??), 18-Дек-19, 22:10
	Кто-то подобрал пароль?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	40. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Аноним (40), 19-Дек-19, 20:09
	как видишь хэша тут нет. или ты подумал, что 14871 - это хэш? а вот и нет, это дата смены пароля
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	41. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Аноним (41), 20-Дек-19, 04:03
	root вообще без пароля? Встречал такое ещё в chroot окружениях (ещё в начале 2000, наверное). Рутом залогинится нельзя, но если зашел пользователем, то можно сделать su - root и пароль не спросят. Или тут какими-нибудь PAM'ами ограничено?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

4. "Атака на системы online-компиляции через манипуляцию с загол..."	+7 +/–
Сообщение от Аноним (4), 17-Дек-19, 22:54
Помимо etc/shadow, интересные эффекты можно наблюдать, включив </dev/zero>: > cc1plus: out of memory allocating 17179869200 bytes after a total of 413696 bytes или </etc/ssh/ssh_host_rsa_key>: > /etc/ssh/ssh_host_rsa_key:1:1: error: expected unqualified-id before > '--' token > -----BEGIN RSA PRIVATE KEY-----
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

5. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
Сообщение от Аноним (5), 17-Дек-19, 23:00
Зачем такие извращения? Нельзя ли просто скомпилировать программу, читающую что нужно откуда нужно?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Аноним (4), 17-Дек-19, 23:04
	Авторам сервисов обычно хватает мозгов не запускать программы пользователей от рута. Автор поста же, в свою очередь, призывает не запускать компилятор от рута
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	12. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Аноним (5), 18-Дек-19, 00:30
	В GitLab контейнеры в аппаратных виртуалках работают от рута...
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	16. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от SOska (?), 18-Дек-19, 08:53
	И это теперь что, правильно и нормально?
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	17. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Аноним (5), 18-Дек-19, 09:37
	Нет, неправильно. Но что ещё остаётся для GitLaba. Не дашь рут - часть программ отвалится.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору

7. "Атака на системы online-компиляции через манипуляцию с загол..."	+2 +/–
Сообщение от Аноним (7), 17-Дек-19, 23:05
Господи, сколько же на свете идиотов...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	37. "Атака на системы online-компиляции через манипуляцию с загол..."	+2 +/–
	Сообщение от neanonim (?), 19-Дек-19, 08:57
	Надо подсчитать... Начнём с тебя
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

8. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
Сообщение от б.б. (?), 17-Дек-19, 23:08
чё за онлайн компиляция
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Атака на системы online-компиляции через манипуляцию с загол..."	+1 +/–
	Сообщение от Андрей (??), 17-Дек-19, 23:51
	поищи "online compiler" - там есть уже выбор. Godbolt, Wandbox, Ideone.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
	Сообщение от Аноним (13), 17-Дек-19, 23:59
	Почти все студенты нынче так контрольные делают, в онлайн-сервисах, где можно скомпилировать что-нибудь. Когда-то все делали странички со снежинками на JS, а теперь с каким-нибудь окошком для запуска Python.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	18. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
	Сообщение от Аноним (18), 18-Дек-19, 10:02
	Это может быть тупо билд-ферма с веб-интерфейсом. Например, некоторые дистрибутивы линукса собираются "в онлайне". Ты можешь следить за сборкой и даже менять исходники прямо из браузера. Конечно, это не единственный способ, и часто даже не основной, но тем не менее такая возможность присутствует. Можно ли назвать это "системой online-компиляции"? Наверное. Примеры: https://copr.fedorainfracloud.org/ https://build.opensuse.org/
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

15. "Атака на системы online-компиляции через манипуляцию с загол..."	+/–
Сообщение от Аноним (15), 18-Дек-19, 06:44
> системы online-компиляции Можно ли подрубить туда свои мощности? А то 8-ядерник простаивает. Типа как распределённые вычисления, только чтобы тебе за них платили. И можно ли компилировать виндовые программы? А то линуксовые компилировать просто - всегда и везде есть GCC - а в винде я понятия не имею, как компилировать. Может в онлайн-сервисах это так же просто, как в линуксе сделать make?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

19. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
Сообщение от Аноним (19), 18-Дек-19, 10:37
Не совсем понимаю как при помощи #include можно текст вытащить? Я немного потестил, но если в файле конкретно не указан текст в "", то при компиляции все падает. Какие есть фишки по этому поводу в С?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	20. "Атака на системы online-компиляции через манипуляцию с загол..."	+4 +/–
	Сообщение от 1 (??), 18-Дек-19, 10:42
	Новость не читай - комментарий отправляй. Там всё написано - надо только до конца дочитать.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Атака на системы online-компиляции через манипуляцию с загол..."	–1 +/–
	Сообщение от Аноним (19), 18-Дек-19, 10:46
	Ну либо я слепой, либо все же не написано
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору