forum.opennet.ru

"Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."	+5 +/–
Сообщение от Аноним (48), 15-Май-22, 15:16
Другая классическая проблема: читаем один файл пишем в другой, но забываем проверить, а не один ли это файл. Или не забываем, проверяем, но по путям. Пути разные, а inode один, оказывается второй аргумент был симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user. И ещё миллион таких проблем. А как вишенка на торте - ToUToC для долгоиграющих программ. Проверили всё, всё нормально, начали работу, а файлы переместились (сторонней программой) после нашей проверки, но ещё в процессе работы программы, и приплыли. Короче, проверка аргументов команд, особенно если это пути файловой системы - это не так просто, как может показаться.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива, opennews, 15-Май-22, 08:50 [смотреть все]

Вечная уязвимость, Аноним, 15-Май-22, 08:50 (1) //
- Это из начал но было так задумано Этой фичу использовали многие инсталляторы Т, ИмяХ, 15-Май-22, 09:47 (9) //
  - Программировать - это гораздо сложнее фронт-энда Это надо работать, заниматься , And, 15-Май-22, 10:06 (12) //
    - Это уже шутка недели не меньше , Аноним, 15-Май-22, 12:19 (25)
    - Да ну, бред какой-то, Массоны Рептилоиды, 16-Май-22, 10:53 (91)
  - Чисто поржать, RAR и UNRAR - не есть свободное ПО Как максимум на консольный , Аноним, 15-Май-22, 15:43 (50) //
    - Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только, Аноним, 15-Май-22, 17:58 (57)
      - Мне кажется, он не это имел в виду, но получилось прикольно , Аноним, 15-Май-22, 19:22 (70)
      - Про качество он не говорил Как правило, закрытое ПО качественнее , Гыгыгы, 15-Май-22, 19:24 (72)
        
        Мне наприме опенсорсный линукс как-то сильно больше винды нравится Особенно ядр, Аноним, 15-Май-22, 22:10 (78)
        
        А погасите трабл с ускорением видео в браузерах Можно не за пару дней, даже на , Аноним, 16-Май-22, 15:00 (105)
        
        Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно п, Аноним, 16-Май-22, 22:19 (113)
        
        Ну вот так всегда как доходит до дела, так сложна нинужна УМВР и так далее , Аноним, 17-Май-22, 05:25 (126)
        Т е интузиасты любители своего дела без проплаты никак А как распинались про , Neon, 24-Май-22, 17:18 (129)
        
        Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе , Аноним, 17-Май-22, 04:39 (123)
        
        Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров, Аноним, 17-Май-22, 05:19 (125)
        
        А у меня наоборот ТВ-тюнер так нормально и не завёлся в линухе И никакие форум, Гыгыгы, 16-Май-22, 19:40 (110)
        
        Вот тут я честно говоря не очень в курсе Мне из этого интересен разве что RTL_S, Аноним, 17-Май-22, 02:36 (120)
        
        Я и говорю 8212 УМВР А вот уменя не сложилось А тут будет УМВР с моей сторон, Гыгыгы, 17-Май-22, 06:06 (127)
- Другая классическая проблема читаем один файл пишем в другой, но забываем прове , Аноним, 15-Май-22, 15:16 (48) //
  - В архиве это не должно требовать интерпретации архивер должен класть в хидеры п, Аноним, 15-Май-22, 19:16 (69) //
    - p s это все кстати позволяет ряд приколов уровня ФС Файл с именем ничему не , Аноним, 15-Май-22, 19:25 (73)
      - Чутка добавлю Ещё и как имя файла вряд ли прокатит А так 8212 да К, PnD, 16-Май-22, 11:42 (98)
        
        Попытка создать такой файл скорее всего обломается - такой файл уже есть, технич, Аноним, 16-Май-22, 22:29 (116)
ещё одна такая уязвимость - и ухожу на zip достали , васёк, 15-Май-22, 09:07 (2) //
- Если у меня не выпадет вайфу_name , я установлю Ubuntu , КО, 15-Май-22, 09:18 (4)
- У zip другая проблема, хранит имена файлов не в юникоде кракозябры при распак, Аноним, 15-Май-22, 13:32 (41) //
  - 7zip косячнее еще больше В Генту даже новость приходила о том что стоит его вып, Аноним, 15-Май-22, 14:00 (43) //
    - Я всех ввел в заблуждение,в самом деле речь про p7zip, Аноним, 15-Май-22, 14:19 (45)
      - Это единственный 7z, который там есть, версия 6 летней давности или около того , Аноним, 15-Май-22, 15:24 (49)
        
        Чего исходникам там утекать Они и так под LGPL Недавно эталонный 7zip стал офи, Аноним, 16-Май-22, 14:33 (101)
        
        Там суть в том, что автор зажал исходники актуальных версий, да , Аноним, 16-Май-22, 14:53 (104)
    - Что не так с версией 2016 года , Аноним, 15-Май-22, 18:02 (58)
      - Да, она из 2016 года , qetuo, 16-Май-22, 04:57 (86)
  - unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенн, Аноним, 16-Май-22, 20:39 (111) //
    - А флаг для CP1251 есть А для CP866 А для KOI-8R , www2, 17-Май-22, 09:40 (128)
- только arj - только хардкор , Cyber100, 15-Май-22, 18:23 (60) //
  - arc - выбор профессионала Ну или lharc, CAE, 15-Май-22, 19:22 (71)
- не надо доверять чужому коду переходи на RLE пишется за полчаса , Аноним, 16-Май-22, 11:42 (97) //
  - а если файл извне пришел в руре так то да, любой дурак может, а ты обнови унру, Аноним, 16-Май-22, 22:27 (114)
- Это не уязвимость в unrar, а фича Вполне полезная, Neon, 24-Май-22, 17:20 (130)
Шо, опять , iPony129412, 15-Май-22, 09:18 (3)
Опять виновата дырявая сишка, ИмяХ, 15-Май-22, 09:29 (5) //
- Здесь не столько сишка сколько отсутствие мозгов , Аноним, 15-Май-22, 09:35 (6) //
  - Надо понимать у тебя мозгов больше чем у разработчиков rar , Аноним, 15-Май-22, 10:30 (16) //
    - Если они настолько посредственно проверяют строки - то даже у начинающего прогге, Бывалый смузихлёб, 15-Май-22, 10:46 (19)
      - Начинаюший прогер про прикол вообще обычно не в курсе На то и начинающий, Аноним, 15-Май-22, 22:35 (82)
  - Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром , Аноним, 15-Май-22, 13:30 (39) //
    - Ты питонист из соседней новости чтоли , Аноним, 15-Май-22, 22:11 (79)
      - Растолиз, Аноним, 16-Май-22, 14:36 (102)
- Вообще так можно на любом яп налететь, лишь бы с фс работать умел , Аноним, 15-Май-22, 15:45 (51)
А почему нельзя сделать проверку куда мы распаковываем и что это нормальное мест, a_kusb, 15-Май-22, 09:44 (7) //
- А что значит нормальное место Написано же - насколько позволяют права пользов, ИмяХ, 15-Май-22, 09:48 (10) //
  - Кстати да, это удобно же , a_kusb, 15-Май-22, 12:44 (30)
- Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяк, Аноним, 15-Май-22, 10:01 (11) //
  - Любому эксперту с opennet 128019 ясно что это бэкдор , Аноним, 15-Май-22, 10:35 (17) //
    - Да кто таких уязвимостей только не было и в вебсерверах и черте лысом Даже авто, Аноним, 15-Май-22, 12:21 (26)
- Потому что первое что прихожит кодеру в бошку это взять имя файла и возможно ку, Аноним, 15-Май-22, 15:49 (52) //
  - Ага Insufficient privilegies А вот в bashrc уже писать можно Вычислять насто, Аноним, 15-Май-22, 18:49 (64) //
    - man 3 realpath, Аноним, 15-Май-22, 18:50 (66)
    - Это смотря кто что и куда распаковывал записывал и какие у него права были Да мн, Аноним, 15-Май-22, 19:11 (67)
      - Есть прога можно использовать в shell , а есть функция из glibc Я потому и доба, Аноним, 16-Май-22, 14:03 (99)
        
        Я буду рефрешить каменты до написания ответа Я буду рефрешить каменты до напис, Аноним, 16-Май-22, 22:33 (118)
Вот вам и вирусы на венде и ондроит , Аноним, 15-Май-22, 09:45 (8) //
- дак автор рара виндузятнеГ, вои и накосячил со слешами , Аноним, 15-Май-22, 10:40 (18) //
  - а под android не накосячил опять эксперт опеннета, васёк, 15-Май-22, 11:42 (22) //
    - И часто ты архивы распаковываешь на андроиде , Аноним, 15-Май-22, 12:22 (28)
      - Каждый день запаковываю и распаковываю 7z в Termux Очень удобно, брат что хара, Самый Лучший Гусь, 15-Май-22, 12:55 (33)
        
        Чтож ты ы них пакуешь Игры по 200 гб наверно , microsoft, 15-Май-22, 18:23 (59)
        
        А почему вы спрашиваете , Самый Лучший Гусь, 15-Май-22, 20:48 (74)
        
        Может он тоже хочет попаковать, но не знает что А ты нам расскажешь и мы тоже н, Аноним, 16-Май-22, 11:12 (92)
        
        Вам энтропии побольше или поменьше Если побольше, жмите dev urandom, если поме, Аноним, 16-Май-22, 22:34 (119)
      - unrar-ом , Аноним, 17-Май-22, 03:56 (121)
    - Под Android был феерический косяк при добавлении информации для восстановления п, Аноним, 16-Май-22, 00:40 (84)
по-моему, наоборот - было фичей, Аноним, 15-Май-22, 10:27 (14)
Ебилдов не завезли, до сих пор прошлогодняя версия 9 10 файлов, скачиваемых из , Аноним, 15-Май-22, 10:28 (15) //
- Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в ra, RomanCh, 15-Май-22, 12:22 (27) //
  - Да так, различные опенсорсные и около того программы Походите по тому же гитхаб, Аноним, 15-Май-22, 12:51 (31) //
    - На гитхабе для шиндошс всё зазиповано Для всех остальных тарболлы или точно так, Самый Лучший Гусь, 15-Май-22, 12:59 (34)
      - Согласен, но почему-то так делают , Аноним, 15-Май-22, 13:00 (35)
        
        Значит ответственные органы недорабатывают Думаю, это пройдёт , Самый Лучший Гусь, 15-Май-22, 13:15 (38)
        
        Ответственные органы этому потакают Проснись, рар это и есть то самое 171 зам, Аноним, 16-Май-22, 11:13 (93)
    - Что-то у вас какой-то паршивый опенсорс По репам от васяна с варезом чтоли, где , Аноним, 15-Май-22, 15:51 (53)
      - Обычный, иного не завезли Стоит сказать спасибо, что вообще поставляют исходник, Аноним, 15-Май-22, 16:39 (56)
        
        Это не их заслуга а недоработка майкрософта который еще не снес явных варезников, Аноним, 15-Май-22, 19:13 (68)
    - Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает Из инте, RomanCh, 16-Май-22, 07:10 (88)
      - Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack вообще анриал , Аноним, 16-Май-22, 10:44 (90)
        
        Рар только в варезе бывает проснись уже, пожалуйста , Аноним, 16-Май-22, 11:15 (94)
        
        Не только в варезе где вы такой варез находите , но и в дистрибутивах всяких и, Аноним, 16-Май-22, 11:34 (96)
        
        Вы печатаете много букав, вместо того, чтобы привести несколько примеров опенсо, RomanCh, 16-Май-22, 14:30 (100)
        
        Зачем Есть сомнения, что так и есть, или что Вон даже на опеннете рекламировал, Аноним, 16-Май-22, 15:05 (106)
- Хммм у меня 10 10 файлов это zip и tar, выходит ты лжец , microsoft, 15-Май-22, 18:26 (61) //
  - Нет, выходит, ты глуповат, если экстраполируешь это таким образом , Аноним, 15-Май-22, 18:32 (62) //
    - Нет, microsoft, 15-Май-22, 22:06 (77)
Ну, на винде продвинутые школьники rar ставят, ладно Остальным это зачем , Аноним, 15-Май-22, 11:09 (20) //
- В бухтерии rar любят На сайтах госорганов часто доки в нём выкладывают , YetAnotherOnanym, 15-Май-22, 13:31 (40) //
  - в бухгалтерии по привычке из 90тых всем ставят winrar вот его и любят , Аноним, 16-Май-22, 00:10 (83)
  - В балгахтерии что админ поставит, то они и любят , Аноним, 16-Май-22, 14:44 (103)
Зачем unrar если есть unar, который те же rar распаковывает , Аноним, 15-Май-22, 11:41 (21) //
- Зачем urar если есть unrar, который те же rar распаковывает , ИмяХ, 15-Май-22, 12:05 (23) //
  - unar даже чёрта лысого распаковывает, а не только rar Есть ещё bsdtar из libarc, Самый Лучший Гусь, 15-Май-22, 13:00 (36)
  - Для установки unrar надо приседать с включением репозиториев с проприетарью, тог, Аноним, 15-Май-22, 14:56 (47)
- А какие версии распаковывает , Аноним, 15-Май-22, 18:49 (65) //
  - Судя по коду от 1 3 до 5, Аноним, 16-Май-22, 22:28 (115)
- он gnustep за собой тащит, Аноним, 16-Май-22, 06:41 (87)
А WinRAR 6 12 почему не выпустили , zog, 15-Май-22, 12:27 (29) //
- Новость _внимательно_ прочитайте, Андрей, 15-Май-22, 12:52 (32) //
  - Ну вот ты мне невнимательному расскажи, почему rar и unrar обновились, а WinRA, zog, 15-Май-22, 13:10 (37) //
    - Да, ИмяХ, 15-Май-22, 16:16 (55)
    - Сейчас для тебя будет открыта страшная тайна WinRAR он только для Windows потом, Аноним, 16-Май-22, 11:19 (95)
Никогда бы не подумал что это уязвимость К тому же галочки есть во всяких xarch, Аноним, 15-Май-22, 13:50 (42)
Это Рошал накосячил что-ли Формат Rar косячный и не нужный формат , Аноним, 15-Май-22, 14:11 (44) //
- Как узнать опенсорсника По частоте употребления словосочетания 171 не нужно , Аноним, 15-Май-22, 16:02 (54) //
  - Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс , zog, 15-Май-22, 22:16 (81) //
    - Защитник быдлокодера Рошала - два , Аноним, 16-Май-22, 17:34 (108)
      - А ты сам какой кодер , zog, 16-Май-22, 20:54 (112)
  - Защитник Рошала - раз , Аноним, 16-Май-22, 17:33 (107)
UT announcer Congratulations You are the winrar , InuYasha, 15-Май-22, 14:49 (46) //
- Зато какая винрарная уязвимость, прямо по классике , Аноним, 15-Май-22, 22:13 (80)
В конце 90-х и начале 2000-х пользовал данный архиватор С появлением 7z забыл п, Интел, 15-Май-22, 21:29 (75)
Только в одном случае если распаковывать такое в Desktop или соседних директо, Ivan_83, 15-Май-22, 21:57 (76) //
- Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот, Аноним, 16-Май-22, 01:28 (85)
Вот тебе бабка и юрьевь день Как же так вышло, что легендарный русский программ, Аноним, 17-Май-22, 04:46 (124)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру