Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В Ghostscript выявлены две новые критические уязвимости, opennews (??), 11-Окт-18, (0) [смотреть все] Привычка запускать всякий мусор из левых источников, типа почты - это неизлечимо, Аноним (1), 11:27 , 11-Окт-18, (1) –2 // Если почитать новость, можно узнать что запускать - не обязательно И при чем ту, Аноним (-), 08:07 , 12-Окт-18, (7) +1 Поправьте, если ошибаюсь Noexec на хомяке тут не поможет же , ryoken (ok), 11:34 , 11-Окт-18, (2) –6 // От тупого шифровальщика, например, - не поможет Что-то более продвинутое, что т, Аноним (1), 11:46 , 11-Окт-18, (4) +1   // Очень проблематично - положить в более системную диру, предварительно повысив пр, Аноним (-), 08:11 , 12-Окт-18, (8)   // В Ghostscript выявлены две новые критические уязвимости, iPony (?), 08:38 , 12-Окт-18, (12) –2   TEMP, iPony (?), 08:39 , 12-Окт-18, (13) –2   На него тоже можно noexec, но это до чудиков реально не допирает как работают ко, Аноним (-), 10:27 , 12-Окт-18, (18) –1   Естественно можно, но на об этом речи не было А для noexec на temp обязательно , iPony (?), 10:53 , 12-Окт-18, (21) –1   Если хочется закрутить гайки - сюрпризы возможны Это удивительно Собственно, п, Аноним (-), 04:46 , 13-Окт-18, (28)   Спасибо, КЭП , iPony (?), 14:37 , 14-Окт-18, (32)   Ну в bashrc запиши 128221 и радуйся, iPony (?), 08:42 , 12-Окт-18, (14) –2   ди6илы, 6л Казалось бы, ну каким альтернативноодаренным надо быть, чтобы всуну, Аноним (3), 11:44 , 11-Окт-18, (3) +1 // юниксвей забыт и предан забвению , Аноним (5), 13:16 , 11-Окт-18, (5) +1 Я хочу сыграть с тобой в одну игру У меня к тебе 2 вопроса 1 Какое именно прил, kai3341 (ok), 03:59 , 12-Окт-18, (6) –2 // Давай я за него отвечу Например генератор превьюшек документов, внезапно Которы, Аноним (-), 08:16 , 12-Окт-18, (9) // при том что если бы он не занимался ненужным угадавом - gs бы даже не вызвался б, пох (?), 10:20 , 12-Окт-18, (17) –1 Ты хочешь чтобы монстры-переростки занимающиеся кучей дел не были бы монстрами-п, Аноним (-), 10:44 , 12-Окт-18, (19) +1 да дело-то у imagic вполне ограниченное - портить изображение, ну и иногда зачем, пох (?), 11:03 , 12-Окт-18, (22) Ну так понапридумывали форматов и вообще, GS много кем используется Я вижу с, Аноним (29), 09:38 , 13-Окт-18, (29) ps но контекстом для gs надо бы, пожалуй, озаботитьсячисто на всякий случай, пох (?), 11:07 , 12-Окт-18, (24) –1 Так это не случайная ошибка же Случайно дать возможность исполнять произвольный, kai3341 (ok), 00:53 , 13-Окт-18, (26) Просто многие вещи, особенно старые, не создавались с security in mind Ну вон в, Аноним (29), 09:47 , 13-Окт-18, (30) Я бы задался вопросом, как изменить то, почему этого ревью _нет_ , Аноним (10), 08:29 , 12-Окт-18, (10) –1 // купить машину времени кстати, заодно сравнишь - много ли пользы принесли бестолк, пох (?), 09:59 , 12-Окт-18, (15) –1 загрузчик юзерских фотографий, например необязательно художественных - это могу, пох (?), 10:14 , 12-Окт-18, (16) –2 // До него дело даже не дойдет - тебя поимеют еще тогда когда ты превьюху этого доб, Аноним (-), 10:53 , 12-Окт-18, (20) ну, собственно, превьюху при загрузке он и создает, что ж еще у меня они автокат, пох (?), 11:06 , 12-Окт-18, (23) –1 Я не понимаю кто такой загрузчик юзерских фотографий Сценарий с авто-поимение, Аноним (-), 10:17 , 13-Окт-18, (31) Цитаты великих людей , KonstantinB (??), 04:04 , 13-Окт-18, (27) О, давай Если данную атаку инициирует приложение, но всяко не на стороне клиента, Ordu (ok), 18:14 , 12-Окт-18, (25) 1,2,3

Сообщения

[Сортировка по времени | RSS]

	4. "В Ghostscript выявлены две новые критические уязвимости"	+1 +/–
	Сообщение от Аноним (1), 11-Окт-18, 11:46
	От тупого шифровальщика, например, - не поможет. Что-то более продвинутое, что требует загрузки payload'а из сети, ИМХО будет проблематичнее заякорить.
	Ответить | Правка | Наверх | Cообщить модератору

	8. "В Ghostscript выявлены две новые критические уязвимости"	+/–
	Сообщение от Аноним (-), 12-Окт-18, 08:11
	Очень проблематично - положить в более системную диру, предварительно повысив права через какой-нибудь соседний CVE. Благо их есть, особенно у тех кто систему не обновляет.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "В Ghostscript выявлены две новые критические уязвимости"	–2 +/–
	Сообщение от iPony (?), 12-Окт-18, 08:38
	> Очень проблематично - положить в более системную диру
	Ответить | Правка | Наверх | Cообщить модератору

	13. "В Ghostscript выявлены две новые критические уязвимости"	–2 +/–
	Сообщение от iPony (?), 12-Окт-18, 08:39
	> Очень проблематично - положить в более системную диру $TEMP
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	18. "В Ghostscript выявлены две новые критические уязвимости"	–1 +/–
	Сообщение от Аноним (-), 12-Окт-18, 10:27
	> $TEMP На него тоже можно noexec, но это до чудиков реально не допирает как работают компьютеры. А приколитесь, изначально процессор вообще ничего не знает про файлы. Для него есть память, код и данные. При том в нейманах отделение одного от другого достаточно условное.
	Ответить | Правка | Наверх | Cообщить модератору

	21. "В Ghostscript выявлены две новые критические уязвимости"	–1 +/–
	Сообщение от iPony (?), 12-Окт-18, 10:53
	Естественно можно, но на об этом речи не было. А для noexec на temp обязательно приведёт к определённым приключением, даже apt не будет работать (сражу вижу возражения — да, обходки есть). > приколитесь Вот это товарищу выше и пиши. А так да, мэлварь чисто хранимая в ОЗУ для всяких там ембедед линукс устройств, когда проблема с доступом на запись в постоянное хранилище — давно не новость.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "В Ghostscript выявлены две новые критические уязвимости"	+/–
	Сообщение от Аноним (-), 13-Окт-18, 04:46
	> на temp обязательно приведёт к определённым приключением, даже apt не будет > работать (сражу вижу возражения — да, обходки есть). Если хочется закрутить гайки - сюрпризы возможны. Это удивительно? Собственно, половина системной защиты - в том чтобы хакерье обломалось с стандартной шаблонной атакой и наследило по максимуму. Этакое предварительное минирование территории. > в ОЗУ для всяких там ембедед линукс устройств, когда проблема с > доступом на запись в постоянное хранилище — давно не новость. Это можно и на обычном компьютере практиковать, если хочется. А повысив права через CVE, которых в любой актуальной операционке хоть отбавляй (даже в Minix из ME находили) - потом можно что угодно в общем то делать. Другое дело что хакеры нынче в массе своей ленивы и хотят денежек по быстрому срубить. А для этого можно и без системных наворотов обойтись - спам, прокси и ддосы всего этого не требуют.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В Ghostscript выявлены две новые критические уязвимости"	+/–
	Сообщение от iPony (?), 14-Окт-18, 14:37
	Спасибо, КЭП.
	Ответить | Правка | Наверх | Cообщить модератору

	14. "В Ghostscript выявлены две новые критические уязвимости"	–2 +/–
	Сообщение от iPony (?), 12-Окт-18, 08:42
	>  Что-то более продвинутое, что требует загрузки payload'а из сети, ИМХО будет проблематичнее заякорить Ну в .bashrc запиши 📝 и радуйся
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема