forum.opennet.ru

"Уязвимость в GNU tar, позволяющая перезаписать сторонние файлы"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Уязвимость в GNU tar, позволяющая перезаписать сторонние фай..."	+2 +/–
Сообщение от Andrey Mitrofanov (?), 28-Окт-16, 10:11
>> информация о проблеме была отправлена сопровождающему GNU tar ещё в марте, но он не посчитал указанную проблему уязвимостью, поэтому проблема на момент публикации эксплоита остаётся неисправленной. > Этому весьма уважаемому и несомненно высоко компетентному человеку запретить кодить пожизненно. Решение есть! Возьми его на работу -- и сразу начинай говорить, чего да как делать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в GNU tar, позволяющая перезаписать сторонние файлы, opennews, 27-Окт-16, 22:18 [смотреть все]

Необходимо срочно включить tar в systemd GNU не справляется , pauc, 27-Окт-16, 22:27 (2) //
- sandbox , Аноним, 27-Окт-16, 23:18 (7)
- Сначала emacs и qt, фреймворки должны быть интегрированы , user, 28-Окт-16, 00:29 (12) //
  - LibreOffice в качестве pid 1 должен быть хорош , Andrey Mitrofanov, 28-Окт-16, 10:09 (39) //
    - Ты там потише, а то нокия уже доперла однажды до прелоада браузера сразу после с, Аноним, 30-Окт-16, 22:32 (56)
О, ну хоть по этому поводу нет отдельного сайта Пока что , Аноним, 27-Окт-16, 22:29 (3)
Этому весьма уважаемому и несомненно высоко компетентному человеку запретить код, rm_, 27-Окт-16, 22:42 (4) //
- Может не помочь Проекту с числом авторов больше одного мэйнтейнеру совершенно н, Аноним, 27-Окт-16, 23:17 (6)
- Ты бы хоть разобрался в этой уязвимости , манагер , angra, 28-Окт-16, 00:29 (11) //
  - Попробуйте сменить мишку или компьютер c http www linux org ru news multime, Аноним, 28-Окт-16, 02:07 (22)
- Решение есть Возьми его на работу -- и сразу начинай говорить, чего да как дела , Andrey Mitrofanov, 28-Окт-16, 10:11 (40)
А busybox , interuser, 27-Окт-16, 22:46 (5)
Эта уязвимость НЕ ПОЗВОЛЯЕТ осуществить запись за пределы целевого каталога О, Аноним, 27-Окт-16, 23:23 (8) //
- Выходит в тексте новости враньё , Аноним, 28-Окт-16, 01:33 (17) //
  - Открытого вранья нет, так как под целевого каталога, заданного в командной стро, angra, 28-Окт-16, 04:43 (26)
- Условный пример Вы открываете архив и смотрите до второго уровня что в нём тольк, Аноним, 28-Окт-16, 09:58 (38)
что-то подсказывает, что автор прав - смотреть надо что делаешь , fi, 27-Окт-16, 23:29 (9) //
- rm -rf usr, Аноним, 27-Окт-16, 23:30 (10) //
  - достали уже rm -rf не работает, т к по дефолту --preserve-root do not re, burik666, 28-Окт-16, 00:57 (14) //
    - В FreeBSD работает Достали уже школьники , Аноним, 28-Окт-16, 01:42 (18)
      - Что работает Ты удали все, а потом посмотри что осталось Я могу даже дать тебе, interuser, 28-Окт-16, 05:25 (27)
        
        Давай, терминал уже открыл , Аноним, 28-Окт-16, 10:48 (41)
        
        Ок Отправил логин пароль на почту , Аноним, 28-Окт-16, 11:33 (43)
        
        Снес, Аноним, 28-Окт-16, 13:27 (48)
        
        теперь посмотри что осталось , interuser, 29-Окт-16, 13:12 (53)
- Прав или не прав, а судя по их This type of scenario has been successfully expl, анонимус, 28-Окт-16, 12:29 (45)
Я нашел куда более страшную уязвимость в tar Если сказать ему просто распаков, angra, 28-Окт-16, 00:41 (13) //
- А зачем это делать в корень-то, cmp, 28-Окт-16, 02:06 (21) //
  - Как зачем Чтобы уязвимость заработала Ты бы еще спросил зачем это делать с ч, angra, 28-Окт-16, 04:29 (25)
- Что несешь Ты каждый раз, скачивая CMS вордпрес, джумла ты отрываешь архив, и, Аноним, 28-Окт-16, 05:50 (29) //
  - он не распаковывает в кореньвин, нет, 28-Окт-16, 09:43 (37)
  - ахаха, ну да, каждый раз, а потом извлекаю по 1 элементу из корня архива в корен, cmp, 28-Окт-16, 11:25 (42)
Может переписать etc shadowно никак не etc shadow, Аноним, 28-Окт-16, 01:21 (15) //
- Вот именно Если пройти по ссылке, то в этом примере для срабатывания уязвимост, angra, 28-Окт-16, 01:29 (16) //
  - Т е по вашему нормально, что вы запускайте cat tar-poc tar 124 tar xv etc m, Аноним, 28-Окт-16, 08:01 (33)
- Без проблем, просто нужно скомбинироватьetc motd etc shadowetc motd etc, Аноним, 28-Окт-16, 05:53 (30) //
  - оно так не работаетвеликий комбинатор обосрался, Нанобот, 28-Окт-16, 09:42 (36)
- Относительно В том то и уязвимость, что при указании tar раскрывать в etc он, Аноним, 28-Окт-16, 07:57 (32) //
  - Это 3 14здец Как гвоздик в розетку сувать - если в ноль или тапки сухие то и н, Аноним, 28-Окт-16, 20:34 (52)
Как уже говорили смотреть надо, что распаковываешь И еще зря убрается из пут, Ващенаглухо, 28-Окт-16, 08:09 (34)
по-моему даже на уровень moderate не тянет, Нанобот, 28-Окт-16, 09:41 (35)
Хрень какая-то Кто из под рута распаковывает архивы Фото на доску почета С ост, Меломан1, 28-Окт-16, 12:01 (44) //
- Вбздуны, Аноним, 28-Окт-16, 17:01 (49)
- Вообще-то распаковка из под рута это норма А ты бекап распаковываешь от пользов, angra, 28-Окт-16, 17:23 (50) //
  - плюсую , Аноним, 28-Окт-16, 18:18 (51)
  - Проблема не куда именно распаковывать , а что именно распаковывать , Аноним, 31-Окт-16, 14:05 (58)
А какое может быть решение проблемы в имени файла есть напримерetc motd , Аноним, 30-Окт-16, 00:50 (54) //
- Воу, воу, осади мысли-скакуны Тот кто распаковывает указывает что он хочет распа, curious, 30-Окт-16, 16:40 (55)
это не уязвимость, - это фича , Аноним, 30-Окт-16, 23:24 (57)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру