The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в Grafana, позволяющие получить доступ к файлам в системе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Grafana, позволяющие получить доступ к файлам в системе"  +/
Сообщение от opennews (??), 11-Дек-21, 12:11 
В  открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56329

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –3 +/
Сообщение от Аноним (2), 11-Дек-21, 12:13 
Как хорошо, что почти всё запущено в докере в наши дни. (если конечно, человек не делал -v /:/)
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +8 +/
Сообщение от Аноним (3), 11-Дек-21, 12:16 
> если конечно, человек не делал -v /:/

Этот случай обрабатывается SELinux. Если, конечно, девопс не является "не таким как все" и не отключал SELinux. А таких тут много.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Роман (??), 11-Дек-21, 12:51 
они ж selinux apparmor боятся как огня :-)))
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –2 +/
Сообщение от Аноним (19), 11-Дек-21, 15:50 
selinux и apparmor несовместимы. Либо одно, либо второе.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +6 +/
Сообщение от InuYasha (??), 11-Дек-21, 18:51 
chmod - resist fire +555
acl - reflect damage 50%
apparmor - resist normal weapons
selinux - absorb magical damage
:)
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +5 +/
Сообщение от Онаним (?), 11-Дек-21, 19:44 
power off - invulnerability
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –1 +/
Сообщение от onanim (?), 13-Дек-21, 09:39 
процессор и южный мост продолжают работать даже в "выключенном" компьютере:
- man Intel AMT
- man BCM

invulnerability - это выдернуть шнур, выдавить стекло.

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Онаним (?), 13-Дек-21, 09:48 
BMC, вы хотели сказать.
Под power off я не shutdown подразумевал, а именно *power* *off*.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (51), 12-Дек-21, 00:16 
Спасибо кэп
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

63. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Легивон (?), 12-Дек-21, 09:20 
И как в этих ваших кубирнетисах настраивать SELinux? Если сегодня pod тут, а завтра:daw через 10 минут там.
Есть какой-то оператор который позваляет таскать в манифесках конфиг selinux? Ссылочку не дадите?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

26. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –1 +/
Сообщение от Аноним (26), 11-Дек-21, 17:18 
не знаю никого, кто б использовал докер в продуктиве :-)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

34. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от An0nim0us (?), 11-Дек-21, 18:22 
минимум эти - https://www.cncf.io/certification/software-conformance/
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от _ (??), 11-Дек-21, 20:21 
>не знаю никого, кто б использовал докер в продуктиве :-)

Люто, неистово завидую :(

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

78. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от SubGun (??), 12-Дек-21, 21:13 
Сочувствую
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

37. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Онаним (?), 11-Дек-21, 18:28 
> Как хорошо, что почти всё настолько запущено в наши дни

Fixed

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

54. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от КО (?), 12-Дек-21, 05:20 
Как хорошо, что почти всё говно жрут в наши дни (если конечно мозгов нет)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

57. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от ага (?), 12-Дек-21, 08:35 
щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет? Жри чедали и не выпендривайся!
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +6 +/
Сообщение от Онаним (?), 11-Дек-21, 12:18 
Пожал плечами.
Странно ждать от хипстерских поделок чего-то иного.
Не первая дыра, и не последняя.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от пох. (?), 11-Дек-21, 13:43 
блин, а мне она когда-то нравилась... ну до впендюривания хромонога внутрь, конечно.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +11 +/
Сообщение от Аноним (6), 11-Дек-21, 13:00 
> использование символов ".." для доступа к нижележащим каталогам.

Я всегда считал, что это «верхлежащие» каталоги, мы же поднимаемся вверх, выходим из каталога.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Аноним (3), 11-Дек-21, 13:31 
В таком случае предлагаю тебе взобраться "вверх" на дерево до самого... корня ("/", root).
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (14), 11-Дек-21, 14:22 
Приложение выполнило недопустимую операцию и будет закрыто.  
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +6 +/
Сообщение от InuYasha (??), 11-Дек-21, 17:24 
Приложение закрыло недопустимую операцию и будет выполнено. - java
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +3 +/
Сообщение от Урри (ok), 11-Дек-21, 15:10 
У вас корень ФС внизу? О_О
А ls "." тоже снизу вверх показывает?

А tree что выводит? Вот такое?

    ┌── 80alsa -> ../scripts.d/alsa
┌── suspend.d
│   ┌── alsa
├── scripts.d
│   ┌── 20alsa -> ../scripts.d/alsa
├── resume.d
├── event.d
.

А как вы этого добились?

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

22. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Аноним (22), 11-Дек-21, 16:20 
Планшет переверни =)
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Аноним (46), 11-Дек-21, 22:50 
У него датчик ориентации - его такими трюками не обманешь.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от vitalif (ok), 11-Дек-21, 18:07 
Ну дерево же, значит должно расти вверх, тянуться к солнцу))
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

47. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +3 +/
Сообщение от Аноним (46), 11-Дек-21, 22:50 
А если в Австралии?
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Ordu (ok), 11-Дек-21, 17:19 
Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корнями вверх. То есть взбираясь по дереву наверх, ты ползёшь к корню. И это хорошо так закрепилось в терминологии. В частности и в файловой системе выбираясь наверх из кучи вложенных директорий, ты выбираешься _наверх_.
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

7. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Корец (?), 11-Дек-21, 13:09 
>/public/plugins/prometheus/../../../../../../../../etc/passwd

Интересно, а есть ли какой-нибудь справочник типовых ошибок?
Просто подобные уязвимости встречаются довольно часто. Было бы неплохо, если бы был некий справочник, по которому потом можно будет сделать набор тестов, чтоб не допускать "детских" ошибок.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от мое правило (?), 11-Дек-21, 13:37 
Не поможет. Обычно такие баги появляются "о, я тут придумал штуку, щас быстренько прилеплю", и даже тестов нормальных не пишут.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +5 +/
Сообщение от Онаним (?), 11-Дек-21, 13:41 
И никакие поперечные юнит-тесты их не спасли...
Даже если у тебя тестами покрыто 100% кода, от misuse этого кода тесты не спасают.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –2 +/
Сообщение от Аноним (14), 11-Дек-21, 14:25 
Значит ты еще и покрытие кода тестами неправильно посчитал. Это вон из профессии я считаю.  
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Онаним (?), 11-Дек-21, 18:26 
Покрытие кода тестами и покрытие кейсов тестами - две большие разницы.
В современном говнокодинге ориентируются именно на первое.
А количество кейсов в мало-мальски сложных проектах стремится к бесконечности.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Аноним (29), 11-Дек-21, 17:26 
Я такие "дырки" специально оставлял пару раз :) Естественно, не будет никаких зафейленных тестов, если "уязвимость" оставлена намеренно.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

15. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +3 +/
Сообщение от macfaq (?), 11-Дек-21, 14:22 
OWASP Top 10.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +4 +/
Сообщение от пох. (?), 11-Дек-21, 13:42 
полез проверить - филенотфоунд. Что за херня? А-а-а-а, это ж только в моднявой 8.0 додумались, я снова ср-ный неудачник.

В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.

Похоже, попутно еще много чего нужного и полезного притащили, вот, к примеру, нескучный обработчик ../ в путях. Интересно, куда девали предыдущих разработчиков.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Aa (?), 11-Дек-21, 14:08 
Что такое - хромоног?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +4 +/
Сообщение от Аноним (14), 11-Дек-21, 14:24 
В данном контексте безголовый хром.  
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –1 +/
Сообщение от нах.. (?), 11-Дек-21, 22:29 
Проходите дальше, не задерживайтесь.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

66. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от asand3r (ok), 12-Дек-21, 12:51 
Я тоже не понял.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

36. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Онаним (?), 11-Дек-21, 18:27 
Все предыдущие обработчики ../ в путях уволились.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

48. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Михрютка (ok), 11-Дек-21, 22:58 
>>> я снова ср-ный неудачник.

не огорчайтесь так, для вас все еще остается log4j

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

58. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от пох. (?), 12-Дек-21, 08:38 
Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ничего не делать (сделать-то все равно ничего нельзя, ты не факт что даже знаешь что там ипользуется в этих купленных за миллионы деньгов копропротивных системах, и тем более ничего не можешь поправить)

А СВОИХ программ на жабе у меня только ldap browser - и там нет log4j, он вообще немодный.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (70), 12-Дек-21, 18:23 
> В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.

Что ж ты не прислал патч и не показал как надо? Копеечный код же. Ах, ну да, ты же только на опеннете можешь ляссы точить.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

81. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от пох. (?), 12-Дек-21, 23:09 
Прислал. Имени Бармина. У меня нет и не будет нигде использоваться графана от таких альтернативно-одаренных, которым ради статичной картинки с собственного движка скопированной - нужен - хромоног.

И, как видишь, я не ошибся.
А вот незадачливые коллеги взгромоздившие себе восьмую сами не зная зачем "паследнюю-паследнюю, патамуштанада" - в пятницу чегой-та прыгали и судорожно апгрейдились.

> Ах, ну да, ты же только на опеннете можешь ляссы точить.

ты-то уже пять графан написал? Или нет, ты на такие мелочи не размениваешься, каждый день новый гугль пишешь?

А мне за каждой обезьянкой, не сумевшей в жопоскрипт (ага) лужицы подтирать - остатка жизни уже не хватит. Да и прожить ее хотелось бы совершенно иначе.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Анонимemail (20), 11-Дек-21, 16:00 
Декада хипстоты потихоньку уходит в небытие. Интересно, кто же их заменит...
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Аноним (22), 11-Дек-21, 16:24 
Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б$% ну вас нах% пойду лучше дизайном заниматься.
Или ну ок пойду получать профильное образование раз говнолепно делаю все.

Вот и подрастает очередное поколение которое будет на навне с нами обнулять заслуги молдоых.


Кастуйте новое название для них. Что там сейчас Манкрафтеры?

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Аноним (25), 11-Дек-21, 16:38 
>Кастуйте новое название для них. Что там сейчас Манкрафтеры?

чем "пориджы" не устраивает?

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Ananimasss (?), 12-Дек-21, 09:15 
Вообще говоря поридж - это не обязательно молодой.
Это просто недалекий, падкий до броских названий и захранишного. Просто среди школоты таких больше.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (50), 11-Дек-21, 23:32 
Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпами пусть и остаются. Тут видь главное, что красиво, с рамочками, графиками, подсветочкой
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

43. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от YetAnotherOnanym (ok), 11-Дек-21, 20:36 
У приличных людей все эти "../" обрабатываются пока оно ещё URL, и только потом то, что получится, маппится в локальный ресурс или обработчик.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –1 +/
Сообщение от Аноним (46), 11-Дек-21, 22:58 
Дак вот кто сидел в апаче и приделывал там костыли! А потом получили очередную дыру - точки были заенкодены... Потом - дважды енкодены...
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 01:07 
Эээ... Я, вообще-то, не про Апач.
Кстати, а в чём проблема - декодить в цикле (как завещал великий Дийкстра) пока оно не перестанет изменяться? И только после этого пройти по пути URL'а?
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от пох. (?), 12-Дек-21, 08:42 
в том же самом проблема, что и использовать универсальный парсер url для ненужного ненужно ldap:// эмбеднутого в нескучный логгер.

Никогда не знаешь, где немножечко-немножечко лажанешь если не ты сам, то кто-то использующий этот твой код.

Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация левых символов, нормализация, и 404 notfound или вообще 444.

Ну это если тебя волнует безопасность, а не conformance высосанным из пальца теоретиками (потому что в 80 лет уже нельзя быть практиком, а нехилую зарплату хочется, таблеточки дороги) стандартам.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 23:04 
> Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация
> левых символов, нормализация, и 404 notfound или вообще 444.

Ну, или так. В любом случае, чтобы, после декодинга (однократного или до победного конца) никакие закодированные символы не распознавались (неважно, из-за отсутствия или из-за запрета им быть).

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (53), 12-Дек-21, 05:10 
А как зарубить ../ в том же nginx? Эти точечки никлому не упали
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Ananimasss (?), 12-Дек-21, 09:20 
А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь.
А если еще оно крутится-вертится в тюрячках, как и должно, то совсем мало чего интересного.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от пох. (?), 12-Дек-21, 14:59 
"Крайне мало [интересного] известно о зомби-снежном человеке. Кроме его социального номера, адреса, возраста, любимого кушанья..."

Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.

> А если еще оно крутится-вертится в тюрячках, как и должно

нет, дружище, никому оно ничего не должно - кривые костыли и подпорки должны оставаться кривыми костылями и подпорками, когда на наличие у пациентов разума надежды уже не осталось. Если софт требует запуска в дальнем секторе полигона - ну его нахрен такой софт вообще запускать.

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (70), 12-Дек-21, 18:26 
> Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.

Персональные учётки на серверах? Админ локалхоста детектед.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от Онаним (?), 12-Дек-21, 18:33 
А куда деваться с серверов от персональных учёток?
Или вы предпочитаете один рут на весь зоопарк из 5 отделов?
Или может быть централизованный сервер конфигураций (заодно вместе со СКУДами, по недавнему примеру), при взломе которого положат всю вашу инфраструктуру целиком, и при падении которого вы даже дверь в серверную не откроете?
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +2 +/
Сообщение от пох. (?), 12-Дек-21, 18:57 
> А куда деваться с серверов от персональных учёток?

девляпс подход, у них всегда так. Все ключи от всего в etcd. А потом - ой дверь не открывается. Жаль что снаружи, и фреон не подали как положено.

Впрочем, "один рут" тоже бывает. При увольнении очередного "рута" или продолбе его доступа при этом подходе происходит много всего интересного (причем независимо от того как именно этот рутовый доступ был устроен), но наблюдать за б-ским цирком лучше с безопасного расстояния.

Это ведь гораздо забавнее чем просто заблокировать именную учетку.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от пох. (?), 12-Дек-21, 18:53 
точна, девляпсы с миллиардами серверов-то всегда рутом ходют.

(ну а кто наcpaл в лифте при этом определяют по запаху, логи ведь тоже нинуна и их нет, а если и есть то там рут)

Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

73. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Онаним (?), 12-Дек-21, 18:36 
А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать...
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

76. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от пох. (?), 12-Дек-21, 18:58 
> А если учесть что девляпсы любят в этих тюрячках пароли от редисок
> забывать...

а что, там еще и пароль был?!

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Онаним (?), 12-Дек-21, 20:19 
Ну это да, шутка юмора была такая.
Но суть та :D
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (64), 12-Дек-21, 09:21 
Всё просто берешь исходники и правишь их.  
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

69. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от пох. (?), 12-Дек-21, 15:38 
Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги.

Ты можешь поправить вообще всё. Жаль, что почему-то пока нет.

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от SubGun (??), 12-Дек-21, 21:25 
> А как зарубить ../ в том же nginx? Эти точечки никлому не упали

Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают "../" в URL.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

56. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  –4 +/
Сообщение от Wilem82 (ok), 12-Дек-21, 08:13 
А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-языка-вно. Писали бы на расте, не знали бы проблем.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Аноним (64), 12-Дек-21, 09:19 
Писали бы на расте и была бы еще дна проблема под названием раст. Вот Хасекль это дело.  
Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +1 +/
Сообщение от Онаним (?), 12-Дек-21, 10:55 
Что самое интересное - пиши это дело PHP'шники, и такого говна не было бы.

Потому что в мире PHP все эти проблемы с ../ и многим прочим уже 100500100500 раз обсосаны и известны каждому школьнику, а не валидировать самостоятельно пользовательский ввод, надеясь на библиотеки, уже рискуют всего лишь 2 из 3 студентов. Моднявчикам же по этим граблям ещё предстоит походить основательно, они просто пока относительно неуловимый Джо, поэтому их не трогают.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от anonymous (??), 13-Дек-21, 12:27 
Язык и данная проблема -- вещи ортогональные. А если говорить про культуру, то, мне кажется, на PHP как раз такие ошибки допускают чаще всего. Кстати, под Go, вроде был linter, который находил такие проблемы.
Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от Онаним (?), 13-Дек-21, 14:33 
А тут не в языке дело, а в специфике, связанной с окружением языка.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в Grafana, позволяющие получить доступ к файлам в..."  +/
Сообщение от пох. (?), 12-Дек-21, 15:01 
да никакой проблемы - нет кода, нет уязвимостей. Хаскель, конечно, надежнее.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру