forum.opennet.ru - "Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG" (56)

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Perl-модуле Spreadsheet::ParseExcel, используемая для компрометации Barracuda ESG"	+/–
Сообщение от opennews (??), 06-Янв-24, 11:15
В Perl-модуле Spreadsheet::ParseExcel, предоставляющем функции для разбора файлов в формате Excel, выявлена критическая уязвимость (CVE-2023-7101), позволяющая выполнить произвольный код при обработке файлов XLS или XLSX, включающих специально оформленные правила форматирования чисел. Уязвимость вызвана использованием при построении вызова "eval" данных, полученных из обрабатываемого файла. Проблема устранена в обновлении Spreadsheet::ParseExcel 0.66. Имеется прототип эксплоита... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60376
Ответить \| Правка \| Cообщить модератору

Оглавление

Прикольное название для фигни с выполнением ремотного кода Возможно, это опечат, Аноним (-), 11:27 , 06-Янв-24, (2) +2

Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco Уже б, Аноним (7), 11:51 , 06-Янв-24, (7)

Для этого есть нетворк манагер Там же линукс внутри, а ИБМ Редхат продвигает та, Аноним (14), 13:25 , 06-Янв-24, (14) –5

это сгенерировано либо нейросеткой, либо поехавшим , Аноним (7), 13:32 , 06-Янв-24, (15) –1

На основании чего ты сделал подобные выводы Мои выводы основаны на том, что РХ , Аноним (14), 13:40 , 06-Янв-24, (16) –1

На основании того, что ваши комментарии являются бессвязным бредом , Аноним (7), 13:54 , 06-Янв-24, (19)

Не являются, ограниченность и неосведомлённость отдельных комментаторов может вы, Аноним (14), 13:59 , 06-Янв-24, (21) –2

Докажите Попробуйте написать осмысленный текст , Аноним (7), 14:25 , 06-Янв-24, (22)
Какой-то совсем кривой AI Перестарались с гуманизацией текстов, наполнение ошиб, Аноним (33), 18:12 , 06-Янв-24, (33) –1

Семён, ты совсем не палишься Твои сложности восприятия информации только твоя п, Аноним (14), 18:22 , 06-Янв-24, (35)

Не, не угадал, Аноним (33), 19:26 , 06-Янв-24, (36)

А может, и угадал, кто знает , Аноним (14), 19:33 , 06-Янв-24, (37)

У вас просто поток контекстуально несвязанных выражений, это даже прочитать слож, Аноним (33), 18:01 , 06-Янв-24, (30)

контекст тут были все предложения связаны с нимсложность чтения гуманитариями не, Аноним (14), 18:04 , 06-Янв-24, (31)

А эти те, кого эта тема затрагивает - они сейчас с тобой, в твоей комнате , Anonymous1 (?), 11:07 , 08-Янв-24, (61)

Не проецируй Неспособность понимания контекста и отсутствие абстрактного мышлен, Аноним (14), 16:43 , 08-Янв-24, (64)

Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуд, Аноним (33), 17:59 , 06-Янв-24, (29)

Это было про локальные антивирусы, которые на компах стоят , Аноним (7), 02:26 , 07-Янв-24, (47)

Наличие в коде eval и аналогов это признак говнокода , Шарп (ok), 11:32 , 06-Янв-24, (5) +9

Наличие в языке eval и аналогов это признак гoвнoязыка , ИмяХ (ok), 12:02 , 06-Янв-24, (8) +2

Ага, а наличие лезвия - признак говноинструмента Когда пишешь скрипт для обработ, YetAnotherOnanym (ok), 12:17 , 06-Янв-24, (10)

Если оно находится на рукояти в месте хвата 8212 несомненно Вот именно поэтом, Аноним (7), 12:36 , 06-Янв-24, (11)

Но лучше, конечно, сделать всё для минимизации вероятности подобного исхода скр, Аноним (7), 12:44 , 06-Янв-24, (12) +1

Людям свойственно ошибаться С Так что ошибку - поправят, автору дадут небольшу, _ (??), 20:44 , 06-Янв-24, (40)

Использование eval 8212 это не ошибка, а намеренное вредительство , Аноним (7), 02:23 , 07-Янв-24, (45)

Если только строчного , man perlfunc разрешил (?), 19:20 , 07-Янв-24, (56)

Ага Сотри , YetAnotherOnanym (ok), 19:51 , 07-Янв-24, (58)

Если ты видишь рукоять там, где расположено лезвие, то тебе определённо не следу, YetAnotherOnanym (ok), 20:06 , 07-Янв-24, (59)

В таком сценарии можешь написать эти же функции в виде либы или модуля и заносит, Аноним (33), 18:07 , 06-Янв-24, (32)

А ещё на земле не должно быть войн, болезней и неравенства Я в курсе как должно,, _ (??), 20:45 , 06-Янв-24, (41)

Отсутствие eval - признак статического языка, не более В динамических он должен, Аноним (28), 17:50 , 06-Янв-24, (28)

про это и намек, что статические языки рулят , Аноним (54), 17:43 , 07-Янв-24, (54)

Я его слепила из того, что было Коммерческий продукт страдает от использования , crypt (ok), 12:59 , 06-Янв-24, (13) +2

ну, это нормально в смысле типично архитектора конечно на мыло, в 2024м году , лютый жабби.... (?), 13:51 , 06-Янв-24, (18) –1

На жабку у них не хватило памяти , Аноним (7), 13:55 , 06-Янв-24, (20) +1
Жабку на встроенном девайсе Петончег же , Аноним (23), 14:42 , 06-Янв-24, (23) +1

Ну уж нет уже пора игогошечку , Аноним (25), 15:09 , 06-Янв-24, (25) +1

Здесь нужно использовать python, lua или нечто подобное perl взяли, вероятно, п, Аноним (33), 18:21 , 06-Янв-24, (34)

Там не только SA - там вся колбаса была куплена у одной канадской фирмы в 2к-дес, _ (??), 20:55 , 06-Янв-24, (42)

Когда это обновление к нашим завезут А то у наших пока версия 0 65_2,1 pkg sea, rvs2016 (ok), 13:50 , 06-Янв-24, (17) +1
На цпане огромное количество модулей с плохим качеством кода Все надо вычитыват, Аноним (28), 17:38 , 06-Янв-24, (26)
Не уязвимость, а бэкдор То, что eval запрещено использовать, знают все , Аноним (38), 20:07 , 06-Янв-24, (38)

Вам кто-то запретил, вот и не используйте , Аноним (53), 15:05 , 07-Янв-24, (53) +1
https siliconangle com 2023 12 28 barracuda-patches-email-security-gateway-vul, Аноним (55), 17:59 , 07-Янв-24, (55) +2

В js постоянно жуткие баги в npm находят и норм, а тут за что лет один баг на пе, Аноним (39), 20:40 , 06-Янв-24, (39) +3

неосиляторы, сэр комплексы и ещё этот чортов утёнок , ку (?), 19:23 , 07-Янв-24, (57)
Думаю, просто разработки на js ведётся на порчдок больше чем на perl, Аноним (60), 21:25 , 07-Янв-24, (60)

Пппппппц Эвал для разбора форматирования - это высший пилотаж, за который вот э, Tron is Whistling (?), 09:41 , 07-Янв-24, (48) +1
А так - ну, очередное подтверждение тому, что все хламорепозитарии - зло , Tron is Whistling (?), 09:42 , 07-Янв-24, (49)
9 5 лет прошло с момента предыдущего обновления модуля Revision history for Perl, Аноним (50), 11:38 , 07-Янв-24, (50)

9 5 лет написанный код работал без необходимости постоянно спички вставлять Вам , Аноним (53), 14:59 , 07-Янв-24, (52) +1

9 5 лет работал бекдор Вам такое и не снилось , Шарп (ok), 12:06 , 08-Янв-24, (62)

А, то есть оно уже ещё и тухлое Ну, классика cpan о-пипо-npm ов, да , Tron is Whistling (?), 11:45 , 07-Янв-24, (51)
За eval в коде надо бить, возможно, даже ногами Это ж просто бомба замедленного, Liin (ok), 13:10 , 08-Янв-24, (63)

В обработке внешних данных 8212 да В привилегированных конфигураторах 821, PnD (??), 16:28 , 09-Янв-24, (66)

ESG же это Environment, Sustainability, and Governance , anonymous (??), 01:24 , 09-Янв-24, (65)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (-), 06-Янв-24, 11:27 +2 +/–

> Barracuda ESG (Email Security Gateway)
Прикольное название для фигни с выполнением ремотного кода. Возможно, это опечатка и они имели в виду Email InSecurity Gateway?! :)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

5. Сообщение от Шарп (ok), 06-Янв-24, 11:32 +9 +/–

Наличие в коде eval и аналогов это признак говнокода.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #28

7. Сообщение от Аноним (7), 06-Янв-24, 11:51 +/–

Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco. Уже безопасненько.
А исполнение "проверяемых" файлов — у кого из антивирусов этого не было?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14, #29

8. Сообщение от ИмяХ (ok), 06-Янв-24, 12:02 +2 +/–

Наличие в языке eval и аналогов это признак гoвнoязыка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от YetAnotherOnanym (ok), 06-Янв-24, 12:17 +/–

Ага, а наличие лезвия - признак говноинструмента.
Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука, использовать его проще, чем подвязать сишную либу и дёргать функции в ней. Но когдв речь идёт о недоверенных данных из внешнего источника - тут за eval надо бить по рукам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #32

11. Сообщение от Аноним (7), 06-Янв-24, 12:36 +/–

>  Ага, а наличие лезвия - признак говноинструмента.
Если оно находится на рукояти в месте хвата — несомненно.
> Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука
Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #12, #59

12. Сообщение от Аноним (7), 06-Янв-24, 12:44 +1 +/–

> Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.
Но лучше, конечно, сделать всё для минимизации вероятности подобного исхода: скрипт — стереть, автора — перевести в дворники.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #40, #58

13. Сообщение от crypt (ok), 06-Янв-24, 12:59 +2 +/–

Я его слепила из того, что было. Коммерческий продукт страдает от использования noname opensource компонентов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

14. Сообщение от Аноним (14), 06-Янв-24, 13:25 –5 +/–

Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #15

15. Сообщение от Аноним (7), 06-Янв-24, 13:32 –1 +/–

> Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.
^^^ это сгенерировано либо нейросеткой, либо поехавшим.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #16

16. Сообщение от Аноним (14), 06-Янв-24, 13:40 –1 +/–

>^^^ это сгенерировано либо нейросеткой, либо поехавшим.
На основании чего ты сделал подобные выводы? Мои выводы основаны на том, что РХ пропихнул свой толстый вендорлок буквально всем (достаточно посмотреть, сколько из проблемных компонентов типичного дистрибутива контролируется им) и уже в открытую занялся пропихиванием сомнительных зависимостей на перле. А шел/перл от редхата это автоматически подразумевает вулны.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #19, #30

17. Сообщение от rvs2016 (ok), 06-Янв-24, 13:50 +1 +/–

> Проблема устранена в обновлении
> Spreadsheet::ParseExcel 0.66.
Когда это обновление к нашим завезут?
А то у наших пока версия 0.65_2,1:
% pkg search p5-Spreadsheet-ParseExcel
p5-Spreadsheet-ParseExcel-0.65_2,1 Get information from Excel file

Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от лютый жабби.... (?), 06-Янв-24, 13:51 –1 +/–

>Коммерческий продукт страдает от использования noname opensource компонентов.
ну, это нормально (в смысле типично). архитектора конечно на мыло, в 2024м году использовать перловку, вместо божественной жабки и apache poi

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20, #23, #34

19. Сообщение от Аноним (7), 06-Янв-24, 13:54 +/–

> На основании чего ты сделал подобные выводы?
На основании того, что ваши комментарии являются бессвязным бредом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #21

20. Сообщение от Аноним (7), 06-Янв-24, 13:55 +1 +/–

На жабку у них не хватило памяти :(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (14), 06-Янв-24, 13:59 –2 +/–

Не являются, ограниченность и неосведомлённость отдельных комментаторов может вызывать у тех подобное впечатление. И, если я правильно понял, мейнтейнер сабжа на перлопомойке тоже сотрудник РХ. Он конечно же знал, что в коде вулны с евал. Кто, если не он?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #22, #33

22. Сообщение от Аноним (7), 06-Янв-24, 14:25 +/–

> Не являются
Докажите.
Попробуйте написать осмысленный текст.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (23), 06-Янв-24, 14:42 +1 +/–

Жабку на встроенном девайсе? Петончег же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #25

25. Сообщение от Аноним (25), 06-Янв-24, 15:09 +1 +/–

Ну уж нет уже пора игогошечку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (28), 06-Янв-24, 17:38 +/–

На цпане огромное количество модулей с плохим качеством кода. Все надо вычитывать.

Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Аноним (28), 06-Янв-24, 17:50 +/–

Отсутствие eval - признак статического языка, не более. В динамических он должен быть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #54

29. Сообщение от Аноним (33), 06-Янв-24, 17:59 +/–

Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуда даже по сети никуда сходить нельзя. Такие проблемы не должны приводить к большим проблемам, кроме получения ложного результата проверки вложения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #47

30. Сообщение от Аноним (33), 06-Янв-24, 18:01 +/–

У вас просто поток контекстуально несвязанных выражений, это даже прочитать сложно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #31

31. Сообщение от Аноним (14), 06-Янв-24, 18:04 +/–

> У вас просто поток контекстуально несвязанных выражений
контекст тут был
>содержимое ICMP-пакетов на исполнение
и все предложения связаны с ним
>это даже прочитать сложно
сложность чтения гуманитариями не имеет значения, те, кого эта тема затрагивает -- понимают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #61

32. Сообщение от Аноним (33), 06-Янв-24, 18:07 +/–

В таком сценарии можешь написать эти же функции в виде либы или модуля и заносить в код как положено, а не через задницу. Код и данные должны быть отдельно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #41

33. Сообщение от Аноним (33), 06-Янв-24, 18:12 –1 +/–

Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не выглядит естественным.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #35

34. Сообщение от Аноним (33), 06-Янв-24, 18:21 +/–

Здесь нужно использовать python, lua или нечто подобное. perl взяли, вероятно, потому что вместо разработки собственного движка начали допиливать какой-нибудь Spamassassin

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #42

35. Сообщение от Аноним (14), 06-Янв-24, 18:22 +/–

> Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не
> выглядит естественным.
Семён, ты совсем не палишься. Твои сложности восприятия информации только твоя проблема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #36

36. Сообщение от Аноним (33), 06-Янв-24, 19:26 +/–

Не, не угадал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #37

37. Сообщение от Аноним (14), 06-Янв-24, 19:33 +/–

А может, и угадал, кто знает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

38. Сообщение от Аноним (38), 06-Янв-24, 20:07 +/–

>eval
Не уязвимость, а бэкдор. То, что eval запрещено использовать, знают все.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #55

39. Сообщение от Аноним (39), 06-Янв-24, 20:40 +3 +/–

В js постоянно жуткие баги в npm находят и норм, а тут за что лет один баг на перле и набежало хейтеров...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #60

40. Сообщение от _ (??), 06-Янв-24, 20:44 +/–

Людям свойственно ошибаться. (С)
Так что ошибку - поправят, автору дадут небольшую премию за исправление кода, тысяч в 5 долариков и всех то дел!
И только школота на опенете будет "переводить в дворники" пока мамка борщ есть не позвала :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #45

41. Сообщение от _ (??), 06-Янв-24, 20:45 +/–

А ещё на земле не должно быть войн, болезней и неравенства.
Я в курсе как должно, теперь ты в курсе как оно на смом деле :-D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

42. Сообщение от _ (??), 06-Янв-24, 20:55 +/–

>какой-нибудь Spamassassin
Там не только SA - там вся колбаса была куплена у одной канадской фирмы в 2к-десятых. Видимо радикально переделать - дорого, ну вот и ... IronPort-ы там же паслись, так что смотрите за апдейтами :)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

45. Сообщение от Аноним (7), 07-Янв-24, 02:23 +/–

> Людям свойственно ошибаться. (С)
Использование eval — это не ошибка, а намеренное вредительство.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #56

47. Сообщение от Аноним (7), 07-Янв-24, 02:26 +/–

Это было про локальные антивирусы, которые на компах стоят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

48. Сообщение от Tron is Whistling (?), 07-Янв-24, 09:41 +1 +/–

Пппппппц. Эвал для разбора форматирования - это высший пилотаж, за который вот это вот стоило бы вынести из репозитария вместе с авторами, и никогда больше не пускать.

Ответить | Правка | Наверх | Cообщить модератору

49. Сообщение от Tron is Whistling (?), 07-Янв-24, 09:42 +/–

А так - ну, очередное подтверждение тому, что все хламорепозитарии - зло.

Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 07-Янв-24, 11:38 +/–

9.5 лет прошло с момента предыдущего обновления модуля.
Revision history for Perl module Spreadsheet::ParseExcel.

0.66 December 29 2023

    ! Fix for CVE-2023-7101
      https://github.com/runrig/spreadsheet-parseexcel/issues/33

0.65 March 15 2014
    ! Merge support for accessing hyperlink data

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

51. Сообщение от Tron is Whistling (?), 07-Янв-24, 11:45 +/–

А, то есть оно уже ещё и тухлое. Ну, классика cpan'о-пипо-npm'ов, да.

Ответить | Правка | Наверх | Cообщить модератору

52. Сообщение от Аноним (53), 07-Янв-24, 14:59 +1 +/–

9.5 лет написанный код работал без необходимости постоянно спички вставлять.
Вам такое и не снилось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #62

53. Сообщение от Аноним (53), 07-Янв-24, 15:05 +1 +/–

Вам кто-то запретил, вот и не используйте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

54. Сообщение от Аноним (54), 07-Янв-24, 17:43 +/–

про это и намек, что статические языки рулят)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

55. Сообщение от Аноним (55), 07-Янв-24, 17:59 +2 +/–

>Не уязвимость, а бэкдор
https://siliconangle.com/2023/12/28/barracuda-patches-email-.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

56. Сообщение от man perlfunc разрешил (?), 07-Янв-24, 19:20 +/–

Если только строчного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

57. Сообщение от ку (?), 07-Янв-24, 19:23 +/–

неосиляторы, сэр. комплексы. и ещё этот чортов утёнок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

58. Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 19:51 +/–

Ага. Сотри.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

59. Сообщение от YetAnotherOnanym (ok), 07-Янв-24, 20:06 +/–

Если ты видишь рукоять там, где расположено лезвие, то тебе определённо не следует прикасаться ни к какому инструменту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

60. Сообщение от Аноним (60), 07-Янв-24, 21:25 +/–

Думаю, просто разработки на js ведётся на порчдок больше чем на perl

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

61. Сообщение от Anonymous1 (?), 08-Янв-24, 11:07 +/–

А эти те, кого эта тема затрагивает - они сейчас с тобой, в твоей комнате?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #64

62. Сообщение от Шарп (ok), 08-Янв-24, 12:06 +/–

9.5 лет работал бекдор. Вам такое и не снилось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

63. Сообщение от Liin (ok), 08-Янв-24, 13:10 +/–

За eval в коде надо бить, возможно, даже ногами. Это ж просто бомба замедленного действия.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #66

64. Сообщение от Аноним (14), 08-Янв-24, 16:43 +/–

> А эти те, кого эта тема затрагивает - они сейчас с тобой,
> в твоей комнате?
Не проецируй. Неспособность понимания контекста и отсутствие абстрактного мышления сигнализируют либо о серьёзных отклонениях, либо об исключительно низком уровне интеллекта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

65. Сообщение от anonymous (??), 09-Янв-24, 01:24 +/–

ESG же это Environment, Sustainability, and Governance.

Ответить | Правка | Наверх | Cообщить модератору

66. Сообщение от PnD (??), 09-Янв-24, 16:28 +/–

В обработке "внешних" данных — да.
В привилегированных конфигураторах — нет. (Чем всякие DSL бессовестно пользуются. И неважно как это называется.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (-), 06-Янв-24, 11:27	+2 +/–
> Barracuda ESG (Email Security Gateway) Прикольное название для фигни с выполнением ремотного кода. Возможно, это опечатка и они имели в виду Email InSecurity Gateway?! :)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

5. Сообщение от Шарп (ok), 06-Янв-24, 11:32	+9 +/–
Наличие в коде eval и аналогов это признак говнокода.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #28

7. Сообщение от Аноним (7), 06-Янв-24, 11:51	+/–
Ну, хотя бы содержимое ICMP-пакетов на исполнение не запускает, как Cisco. Уже безопасненько. А исполнение "проверяемых" файлов — у кого из антивирусов этого не было?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #14, #29

8. Сообщение от ИмяХ (ok), 06-Янв-24, 12:02	+2 +/–
Наличие в языке eval и аналогов это признак гoвнoязыка.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #10

10. Сообщение от YetAnotherOnanym (ok), 06-Янв-24, 12:17	+/–
Ага, а наличие лезвия - признак говноинструмента. Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука, использовать его проще, чем подвязать сишную либу и дёргать функции в ней. Но когдв речь идёт о недоверенных данных из внешнего источника - тут за eval надо бить по рукам.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #11, #32

11. Сообщение от Аноним (7), 06-Янв-24, 12:36	+/–
> Ага, а наличие лезвия - признак говноинструмента. Если оно находится на рукояти в месте хвата — несомненно. > Когда пишешь скрипт для обработки каких-то своих данных, eval вполне пригодная штука Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #12, #59

12. Сообщение от Аноним (7), 06-Янв-24, 12:44	+1 +/–
> Вот именно поэтому на такой скрипт и нужно вешать надпись большими буквами "govnokod", чтобы никто не вздумал применять его на внешних данных. Но лучше, конечно, сделать всё для минимизации вероятности подобного исхода: скрипт — стереть, автора — перевести в дворники.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #40, #58

13. Сообщение от crypt (ok), 06-Янв-24, 12:59	+2 +/–
Я его слепила из того, что было. Коммерческий продукт страдает от использования noname opensource компонентов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18

14. Сообщение от Аноним (14), 06-Янв-24, 13:25	–5 +/–
Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #15

15. Сообщение от Аноним (7), 06-Янв-24, 13:32	–1 +/–
> Для этого есть нетворк манагер. Там же линукс внутри, а ИБМ/Редхат продвигает такие вулны на всех уровнях. В данном случае, конечно, безопасность уровня перл -- весь код такой и всегда так было. ^^^ это сгенерировано либо нейросеткой, либо поехавшим.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #16

16. Сообщение от Аноним (14), 06-Янв-24, 13:40	–1 +/–
>^^^ это сгенерировано либо нейросеткой, либо поехавшим. На основании чего ты сделал подобные выводы? Мои выводы основаны на том, что РХ пропихнул свой толстый вендорлок буквально всем (достаточно посмотреть, сколько из проблемных компонентов типичного дистрибутива контролируется им) и уже в открытую занялся пропихиванием сомнительных зависимостей на перле. А шел/перл от редхата это автоматически подразумевает вулны.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #19, #30

17. Сообщение от rvs2016 (ok), 06-Янв-24, 13:50	+1 +/–
> Проблема устранена в обновлении > Spreadsheet::ParseExcel 0.66. Когда это обновление к нашим завезут? А то у наших пока версия 0.65_2,1: % pkg search p5-Spreadsheet-ParseExcel p5-Spreadsheet-ParseExcel-0.65_2,1 Get information from Excel file
Ответить \| Правка \| Наверх \| Cообщить модератору

18. Сообщение от лютый жабби.... (?), 06-Янв-24, 13:51	–1 +/–
>Коммерческий продукт страдает от использования noname opensource компонентов. ну, это нормально (в смысле типично). архитектора конечно на мыло, в 2024м году использовать перловку, вместо божественной жабки и apache poi
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20, #23, #34

19. Сообщение от Аноним (7), 06-Янв-24, 13:54	+/–
> На основании чего ты сделал подобные выводы? На основании того, что ваши комментарии являются бессвязным бредом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #21

20. Сообщение от Аноним (7), 06-Янв-24, 13:55	+1 +/–
На жабку у них не хватило памяти :(
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

21. Сообщение от Аноним (14), 06-Янв-24, 13:59	–2 +/–
Не являются, ограниченность и неосведомлённость отдельных комментаторов может вызывать у тех подобное впечатление. И, если я правильно понял, мейнтейнер сабжа на перлопомойке тоже сотрудник РХ. Он конечно же знал, что в коде вулны с евал. Кто, если не он?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #22, #33

22. Сообщение от Аноним (7), 06-Янв-24, 14:25	+/–
> Не являются Докажите. Попробуйте написать осмысленный текст.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (23), 06-Янв-24, 14:42	+1 +/–
Жабку на встроенном девайсе? Петончег же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #25

25. Сообщение от Аноним (25), 06-Янв-24, 15:09	+1 +/–
Ну уж нет уже пора игогошечку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23

26. Сообщение от Аноним (28), 06-Янв-24, 17:38	+/–
На цпане огромное количество модулей с плохим качеством кода. Все надо вычитывать.
Ответить \| Правка \| Наверх \| Cообщить модератору

28. Сообщение от Аноним (28), 06-Янв-24, 17:50	+/–
Отсутствие eval - признак статического языка, не более. В динамических он должен быть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #54

29. Сообщение от Аноним (33), 06-Янв-24, 17:59	+/–
Порядочные сервисы проверок обычно запускают тесты в изолированных средах, откуда даже по сети никуда сходить нельзя. Такие проблемы не должны приводить к большим проблемам, кроме получения ложного результата проверки вложения.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #47

30. Сообщение от Аноним (33), 06-Янв-24, 18:01	+/–
У вас просто поток контекстуально несвязанных выражений, это даже прочитать сложно
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16 Ответы: #31

31. Сообщение от Аноним (14), 06-Янв-24, 18:04	+/–
> У вас просто поток контекстуально несвязанных выражений контекст тут был >содержимое ICMP-пакетов на исполнение и все предложения связаны с ним >это даже прочитать сложно сложность чтения гуманитариями не имеет значения, те, кого эта тема затрагивает -- понимают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30 Ответы: #61

32. Сообщение от Аноним (33), 06-Янв-24, 18:07	+/–
В таком сценарии можешь написать эти же функции в виде либы или модуля и заносить в код как положено, а не через задницу. Код и данные должны быть отдельно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #41

33. Сообщение от Аноним (33), 06-Янв-24, 18:12	–1 +/–
Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не выглядит естественным.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21 Ответы: #35

34. Сообщение от Аноним (33), 06-Янв-24, 18:21	+/–
Здесь нужно использовать python, lua или нечто подобное. perl взяли, вероятно, потому что вместо разработки собственного движка начали допиливать какой-нибудь Spamassassin
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #42

35. Сообщение от Аноним (14), 06-Янв-24, 18:22	+/–
> Какой-то совсем кривой AI. Перестарались с гуманизацией текстов, наполнение ошибками не > выглядит естественным. Семён, ты совсем не палишься. Твои сложности восприятия информации только твоя проблема.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33 Ответы: #36

36. Сообщение от Аноним (33), 06-Янв-24, 19:26	+/–
Не, не угадал
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #37

37. Сообщение от Аноним (14), 06-Янв-24, 19:33	+/–
А может, и угадал, кто знает?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #36