forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в пакетном менеджере Cargo, opennews (?), 03-Авг-23, (0) [смотреть все]

Это и уязвимостью то сложно назвать На каждый баг новости будемс создавать , Аноньимъ (ok), 22:26 , 03-Авг-23, (2) +12 //

Это же про раст Надо было подкинуть топлива местным кекспертам , НяшМяш (ok), 23:06 , 03-Авг-23, (5) +7
А чому нет Макать фанатиков НЕВЕРОЯТНОСТНО БИЗАПАШСТНОГО языка всегда прельстиво, Dzen Python (ok), 23:15 , 03-Авг-23, (6) +2 //

ну так раст и не защищает от оставшихся 30 ошибок, от обзовём их, как тут любя, Аноним (38), 13:21 , 04-Авг-23, (38) +1 //

Ну вон эту ошибку можно было сделать и не логическойНо вот могли же в языке сдел, Anon3 (?), 16:28 , 04-Авг-23, (44) –2

Ты еще скажи, чтобы в языке операторами языка, его системой типов и т д они, Аноним (38), 17:19 , 04-Авг-23, (45) +1

Забыли учесть umask Как это зависит от языка, на котором это забыли Это скорее , Аноним (54), 20:46 , 07-Авг-23, (54)

Сишники самое главное виноваты , Аноним (8), 23:16 , 03-Авг-23, (8)
Скрыто модератором, Аноним (-), 03:29 , 04-Авг-23, (16) –1

а че, карго куда-то не в хомяк распаковывает У home USER обычно 0700, так что, Аноним (3), 22:28 , 03-Авг-23, (3) +2 //

Как в гите на папку target , Anonymous116723333333333 (?), 22:34 , 03-Авг-23, (4) +3

Раст все равно самый классный язык, пусть в нем и есть дыры Это прикольно Раст, ИмяХ (?), 23:22 , 03-Авг-23, (9) +1 //

А вот если бы писали на сишечке, то в комплекте к багу было бы еще несколько вых, Аноним (18), 05:09 , 04-Авг-23, (18) –2
Я полагаю что её дырка заезженная Незачот , Минона (ok), 09:03 , 04-Авг-23, (28) +1 //

Давно неустраняемая уязвимость , Аноним (37), 13:13 , 04-Авг-23, (37) +1

Это не уязвимость а баг, Самый Лучший Гусь (?), 23:49 , 03-Авг-23, (11) +2 //

Прочитай этимологию слова уязвимость, деанон (ok), 12:16 , 04-Авг-23, (35) //

Прочитай слово баг Это несложно, там всего три буквы , Аноним (49), 19:59 , 05-Авг-23, (49)

a tar разве не так же делает , Аноним (14), 00:32 , 04-Авг-23, (14) +2 //

Скрыто модератором, Аноним (25), 07:44 , 04-Авг-23, (25)
Скрыто модератором, Аноним (-), 10:49 , 04-Авг-23, (30)
Для tar есть ключ -p, который надо задавать явно для не суперпользователей , Аноним (36), 12:28 , 04-Авг-23, (36)

Видно, когда MS разрабатывает И ещё другие из-под винды , An2 (?), 00:52 , 04-Авг-23, (15) –1
Скрыто модератором, Аноним (19), 05:49 , 04-Авг-23, (19) //

Скрыто модератором, Dzen Python (ok), 06:38 , 04-Авг-23, (20) –2
Скрыто модератором, Царь бог лучший князь (?), 06:45 , 04-Авг-23, (21) +1 //

Скрыто модератором, Аноним (29), 09:53 , 04-Авг-23, (29) +2

Скрыто модератором, Аноним (-), 16:03 , 04-Авг-23, (42)

Это опеннет или лента вру Для начала 171 локальный пользователь 187 должен п, pashev.ru (?), 08:31 , 04-Авг-23, (27) //

А в чем проблемы то На хомяки часто права в духе 755 по дефолту Ну вот и перез, Аноним (-), 10:51 , 04-Авг-23, (31) –2 //

Зачем тогда возиться с каким-то Растом , pashev.ru (?), 11:35 , 04-Авг-23, (34) //

Что бы выполнить код от имени этого пользователя, очевидно же , Серб (ok), 13:33 , 04-Авг-23, (39) –1
1 С правами 755 на хомяк - хомяк пользователя можно браузить 2 Однао файлы вон, Аноним (-), 02:45 , 06-Авг-23, (52)

Где именно В твоих фантазиях или на серверах безруких админов Конкретнее , Аноним (46), 17:48 , 04-Авг-23, (46) //

В линуксных дистрах, по дефолту, чудак , Аноним (-), 02:46 , 06-Авг-23, (53)

umask - это абсолютное legacy, нарушающее все принципы ООП, о существовании кото, Аноним (33), 11:33 , 04-Авг-23, (33) –3 //

С чего вдруг Обычный фильтр Хочешь объектоности - сделай интерфейс обвязку для, Серб (ok), 13:37 , 04-Авг-23, (40)

Небольшой наброс на тему ненужности Раста не нужен, т к есть флаги компиляции , Аноним (47), 22:19 , 04-Авг-23, (47)
Стабильность так и прёт, uis (??), 02:32 , 06-Авг-23, (51)

Сообщения [Сортировка по времени | RSS]

27. "Уязвимость в пакетном менеджере Cargo" +/–

Сообщение от pashev.ru (?), 04-Авг-23, 08:31

> Если в архиве имеются файлы с правами, разрешающими запись для всех пользователей, то они будут распакованы без очистки данных прав, что позволит любому локальному пользователю изменить код зависимости
Это опеннет или лента.вру?
Для начала «локальный пользователь» должен получить доступ в хомяк.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере Cargo" –2 +/–

Сообщение от Аноним (-), 04-Авг-23, 10:51

> Это опеннет или лента.вру?
> Для начала «локальный пользователь» должен получить доступ в хомяк.
А в чем проблемы то? На хомяки часто права в духе 755 по дефолту. Ну вот и перезаписать тому лопуху файл заодно, с такими пермишнами.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере Cargo" +/–

Сообщение от pashev.ru (?), 04-Авг-23, 11:35

> На хомяки часто права в духе 755 по дефолту
Зачем тогда возиться с каким-то Растом? )

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в пакетном менеджере Cargo" –1 +/–

Сообщение от Серб (ok), 04-Авг-23, 13:33

Что бы выполнить код от имени этого пользователя, очевидно же.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в пакетном менеджере Cargo" +/–

Сообщение от Аноним (-), 06-Авг-23, 02:45

>> На хомяки часто права в духе 755 по дефолту
> Зачем тогда возиться с каким-то Растом? )
1) С правами 755 на хомяк - хомяк пользователя можно браузить.
2) Однао файлы вон того пользователя "почему-то" не перезапишешь, вот так сразу. Если там правов не отсыпят.
А хруст мало того что может, вот, правов на запись левым личностям отсыпать так еще и в том что может быть выполнено потом, очень удобно. Васян пропатчит сорц, юзер соберет, выполнит васянский код ничего не подозревая. И почему бы это не атака - черт бы его знает.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере Cargo" +/–

Сообщение от Аноним (46), 04-Авг-23, 17:48

> На хомяки часто права в духе 755 по дефолту
Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

53. "Уязвимость в пакетном менеджере Cargo" +/–

Сообщение от Аноним (-), 06-Авг-23, 02:46

>> На хомяки часто права в духе 755 по дефолту
> Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.
В линуксных дистрах, по дефолту, чудак.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

27. "Уязвимость в пакетном менеджере Cargo"	+/–
Сообщение от pashev.ru (?), 04-Авг-23, 08:31
> Если в архиве имеются файлы с правами, разрешающими запись для всех пользователей, то они будут распакованы без очистки данных прав, что позволит любому локальному пользователю изменить код зависимости Это опеннет или лента.вру? Для начала «локальный пользователь» должен получить доступ в хомяк.
Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в пакетном менеджере Cargo"	–2 +/–
	Сообщение от Аноним (-), 04-Авг-23, 10:51
	> Это опеннет или лента.вру? > Для начала «локальный пользователь» должен получить доступ в хомяк. А в чем проблемы то? На хомяки часто права в духе 755 по дефолту. Ну вот и перезаписать тому лопуху файл заодно, с такими пермишнами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в пакетном менеджере Cargo"	+/–
	Сообщение от pashev.ru (?), 04-Авг-23, 11:35
	> На хомяки часто права в духе 755 по дефолту Зачем тогда возиться с каким-то Растом? )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в пакетном менеджере Cargo"	–1 +/–
	Сообщение от Серб (ok), 04-Авг-23, 13:33
	Что бы выполнить код от имени этого пользователя, очевидно же.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Уязвимость в пакетном менеджере Cargo"	+/–
	Сообщение от Аноним (-), 06-Авг-23, 02:45
	>> На хомяки часто права в духе 755 по дефолту > Зачем тогда возиться с каким-то Растом? ) 1) С правами 755 на хомяк - хомяк пользователя можно браузить. 2) Однао файлы вон того пользователя "почему-то" не перезапишешь, вот так сразу. Если там правов не отсыпят. А хруст мало того что может, вот, правов на запись левым личностям отсыпать так еще и в том что может быть выполнено потом, очень удобно. Васян пропатчит сорц, юзер соберет, выполнит васянский код ничего не подозревая. И почему бы это не атака - черт бы его знает.
	Ответить \| Правка \| К родителю #34 \| Наверх \| Cообщить модератору


	46. "Уязвимость в пакетном менеджере Cargo"	+/–
	Сообщение от Аноним (46), 04-Авг-23, 17:48
	> На хомяки часто права в духе 755 по дефолту Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору


	53. "Уязвимость в пакетном менеджере Cargo"	+/–
	Сообщение от Аноним (-), 06-Авг-23, 02:46
	>> На хомяки часто права в духе 755 по дефолту > Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее. В линуксных дистрах, по дефолту, чудак.
	Ответить \| Правка \| Наверх \| Cообщить модератору