OpenForum RSS: Атака на системы online-компиляции через манипуляцию с загол... https://opennet.ru/openforum/vsluhforumID3/119261.html Hanno B&#246;ck, автор проекта fuzzing-project.org, обратил внимание на уязвимость интерфейсов интерактивной компиляции, допускающих обработку внешнего кода на языке Си. При указании произвольного пути в директиве "#include" ошибка компиляции включает содержимое файла, который не удалось скомпилировать...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52048<br> Атака на системы online-компиляции через манипуляцию с загол... (Ан даш м) https://opennet.ru/openforum/vsluhforumID3/119261.html#42 Sat, 21 Dec 2019 15:54:44 GMT &gt; с паролем рута в докере где нет ничего кроме сервиса компиляции<br><br>А если туда прокинули /var/lib/docker и контейнер privileged. И прочая девляпс ахинея.<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#41 Fri, 20 Dec 2019 01:03:21 GMT root вообще без пароля?<br>Встречал такое ещё в chroot окружениях (ещё в начале 2000, наверное).<br>Рутом залогинится нельзя, но если зашел пользователем, то можно сделать su - root и пароль не спросят.<br>Или тут какими-нибудь PAM'ами ограничено?<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#40 Thu, 19 Dec 2019 17:09:49 GMT как видишь хэша тут нет. или ты подумал, что 14871 - это хэш? а вот и нет, это дата смены пароля<br> Атака на системы online-компиляции через манипуляцию с загол... (мяя) https://opennet.ru/openforum/vsluhforumID3/119261.html#39 Thu, 19 Dec 2019 14:08:38 GMT &lt;?php include($_GET['path']); ?&gt;<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#38 Thu, 19 Dec 2019 14:08:12 GMT я чет не понял... А где уязвимость то?<br><br>Испокон веков говорилось что сервисы нужно chroot-тить или запускать под отдельным пользователем.<br>В соверменном мире вообще запускают отдельные виртуалки для всего одной службы.<br> Атака на системы online-компиляции через манипуляцию с загол... (neanonim) https://opennet.ru/openforum/vsluhforumID3/119261.html#37 Thu, 19 Dec 2019 05:57:17 GMT Надо подсчитать... Начнём с тебя<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#36 Thu, 19 Dec 2019 04:48:47 GMT Есть и подешевле этих. Реально виртуалку можно за 1-2 бакса взять и там хоть обкомпилиться.<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#35 Thu, 19 Dec 2019 04:47:43 GMT Это походу Айхор колбасит - не только нжинксу достается. На хостинге тоже какие-то крышевые работы нынче - хабр читай. Хабр кстати тоже на .com почему-то предусмотрительно всех редиректит. Видимо боится отжима .ru :)<br> Атака на системы online-компиляции через манипуляцию с загол... (Аноним) https://opennet.ru/openforum/vsluhforumID3/119261.html#34 Thu, 19 Dec 2019 04:42:52 GMT &gt; С каких это пор в слове "дыркер" появилась буква S и оно стало "сикурной изоляцией"?<br><br>Конкретно leafpad запускал все это в виртуалке. Ограниченной по времени выполнения, после чего она сносится и откатывается на чистую. Поэтому делать там что-то кроме запуска тестового кода - как минимум неудобно и производительность хромает.<br>