https://www.opennet.ru/openforum/vsluhforumID3/109393.html Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили (https://lists.gnu.org/archive/html/guile-user/2016-10/msg00007.html) заслуживающую внимания уязвимость, затрагивающую программы, которые принимают сетевые соединения, привязываясь к localhost. Уязвимость позволяет организовать выполнение кода на машине разработчика при открытии в браузере на той же машине специально оформленной web-страницы.<br><br><br>Многие разработчики считают, что привязка к localhost обеспечивает достаточный уровень безопасности и не позволяет обратиться к данному сервису из внешне сети. Тем временем, всё больше программ используются Web API и HTTP в своих сервисах. Если подобные сервис запущен на машине разработчика, то у атакующего появляется возможность отправки запросов к данным локальным сервисам через манипуляции с браузером, запускаемым в той же системе. Например, при открытии подконтрольного атакующему сайта, может быть сформирован запрос ресурса https://www.opennet.ru/openforum/vsluhforumID3/109393.html#45 Thu, 20 Oct 2016 08:53:37 GMT &gt; Ну что, зоркий глаз, на 15-й год ты заметил что браузер может <br>&gt; ходить на локалхост? :) <br><br>Кстати, эти их lisp-хакеры https://lists.gnu.org/archive/html/guile-devel/2016-10/msg00029.html "просто" сделали https://blog.lizzie.io/exploiting-CVE-2016-8606.html и без DNS-ов и их переключений, а ч-з обычный :-S XMLHttpRequest и немного lisp-магии с переписыванием lisp-программы [как данных], чтоб в ней не было пробелов и кавычек. Секьюрити-иксперты с DNS-костылями курят в сторонке.<br><br>Вау!<br><br>...Броузер... js... и немедленно исполнить. Прекрасно!<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#44 Mon, 17 Oct 2016 21:34:24 GMT &gt; не обязательно лисперов, это не только для них уязвимость<br><br>А мне кажется, что речь только про программы на Guile, стало быть обязательно лисперов. :)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#43 Mon, 17 Oct 2016 16:13:22 GMT &gt; тссс, не подсказывайте им про эрланг <br><br>Не, не подсказывайте http://wingolog.org/archives/2016/10/12/an-incomplete-history-of-language-facilities-for-concurrency , не надо http://wingolog.org/archives/2016/09/20/concurrent-ml-versus-go .<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#42 Mon, 17 Oct 2016 11:21:09 GMT тссс, не подсказывайте им про эрланг<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#40 Sat, 15 Oct 2016 22:11:31 GMT https://www.gnu.org/software/make/manual/make.html#Guile-Integration<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#39 Sat, 15 Oct 2016 22:03:31 GMT Name : make<br>Version : 4.2.1-1<br>Description : GNU make utility to maintain groups of programs<br>Architecture : x86_64<br>URL : http://www.gnu.org/software/make<br>Licenses : GPL3<br>Groups : base-devel<br>Provides : None<br>Depends On : glibc guile<br>Optional Deps : None<br>Required By : None<br>Optional For : None<br>Conflicts With : None<br>Replaces : None<br>Installed Size : 1504.00 KiB<br>Packager : Andreas Radke &lt;andyrtr@archlinux.org&gt;<br>Build Date : Sat 11 Jun 2016 03:13:41 PM EEST<br>Install Date : Tue 14 Jun 2016 09:47:13 PM EEST<br>Install Reason : Explicitly installed<br>Install Script : No<br>Validated By : Signature<br>Backup Files :<br>(none)<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#38 Sat, 15 Oct 2016 17:55:02 GMT И это очень странно<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#37 Sat, 15 Oct 2016 13:19:45 GMT Ну что, зоркий глаз, на 15-й год ты заметил что браузер может ходить на локалхост? :)<br> https://www.opennet.ru/openforum/vsluhforumID3/109393.html#36 Sat, 15 Oct 2016 11:31:39 GMT Package: make<br>Source: make-dfsg<br>Version: 4.0-8.1<br>Installed-Size: 1057<br>Maintainer: Manoj Srivastava &lt;srivasta@debian.org&gt;<br>Architecture: i386<br>Depends: libc6 (&gt;= 2.17)<br>Replaces: make-guile &lt;- it's dead, Jim<br>Suggests: make-doc<br>