The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.02.2018 11:42  Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage

В PyBitmessage, эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2, но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли.

Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных. Злоумышленник мог отправить сообщение, приводящее к выполнению произвольного Python-кода. Уязвимость активно использовалась для копирования файлов с кошельками ("~/.electrum/wallets/") с системы пользователей. В ходе атаки также зафиксирован запуск бэкдора для организации доступа извне, позволяющего получить содержимое любых файлов в системе.

Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы. Тем не менее, судя по всему, основной целью атаки стали распространители вредоносных шифровальщиков, которые в последнее время активно используют Bitmessage для организации каналов связи с жертвами.

Децентрализованная p2p-сеть Bitmessage использует похожие на Bitcoin принципы построения распределённой шифрованной цепочки блоков, но вместо хранения информации о денежных транзакциях, ориентирована на пересылку сообщений. Сообщения в Bitmessage рассылаются широковещательно, но только получатель может расшифровать адресованное ему сообщение. Адресат не указывается, поэтому каждый участник получает все сообщения в сети и пытается расшифровать каждое сообщение и если сообщение адресовано ему, то расшифровка удаётся и в хранилище сообщений добавляется подтверждение получения. Если сообщение не было расшифровано в течение двух дней, оно удаляется из распределённого хранилища.

  1. Главная ссылка к новости (https://www.reddit.com/r/bitme...)
  2. OpenNews: Выпуск bitmessage-клиента Pechkin 0.3
  3. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  4. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  5. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
  6. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bitmessage
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 12:11, 15/02/2018 [ответить] [смотреть все]    [к модератору]
  • +15 +/
    > eval()

    Игрушечные языки такие игрушечные.

     
     
  • 2.3, A.Stahl, 12:15, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +13 +/
    В своё время была истерия по поводу goto в результате которой про эту команду уже не каждый программист и знает-то иначе кроме как из анекдотов.
    Может стоит среди скриптовиков поднять такую же бучу по поводу eval?
     
     
  • 3.17, pavlinux, 14:01, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]
  • –9 +/
    Это копипастакодеры, а не программисты ... весь текст скрыт [показать]
     
  • 3.38, eganru, 17:09, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    code __label__ exit for u32 foo HUGE foo --foo for u32 bar HU... весь текст скрыт [показать]
     
     
  • 4.41, A.Stahl, 17:25, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +5 +/
    И?
     
  • 4.71, Аноним, 22:30, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен.
     
     
  • 5.77, eganru, 00:15, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    i лучше в отдельную функцию выделить i - и это будет яркий пример костыля лиш... весь текст скрыт [показать]
     
     
  • 6.82, iPony, 05:58, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Кстати про единорогов Правильность кода - это не пустые слова Можешь хоть ск... весь текст скрыт [показать]
     
     
  • 7.87, eganru, 08:32, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    i этакого фундаментального по голове i - я неоднократно видел как куски CENS... весь текст скрыт [показать]
     
  • 6.83, iPony, 05:59, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    PS: https://twitter.com/Code_Analysis/status/963450814059696129
     
  • 5.113, anomymous, 12:55, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Даёшь каждому циклу по функции А лучше - по целому классу о времена, о нра... весь текст скрыт [показать]
     
  • 4.80, Аноним, 02:30, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    bool cancel false for u32 foo HUGE foo cancel --foo for u32... весь текст скрыт [показать]
     
     
  • 5.88, mickvav, 09:26, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    По производительности уступает варианту с goto Всё в функцию и return - это да ... весь текст скрыт [показать]
     
     
  • 6.90, eganru, 11:12, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    на создание дополнительной функции должны быть серьезные аргументы добавит ли в... весь текст скрыт [показать]
     
     
  • 7.104, А, 23:13, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Конечно Гораздо же лучше одна функция на тысячи две строк и с кучей вложенных д... весь текст скрыт [показать]
     
     
  • 8.109, eganru, 08:58, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    i Гораздо же лучше одна функция на тысячи две строк i - это Вы написали Я эт... весь текст скрыт [показать]
     
  • 8.115, anomymous, 12:56, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В ядре Linux полно таких goto И ничего - всё нормально ... весь текст скрыт [показать]
     
     
  • 9.122, Anonymoustus, 19:02, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так это твоих рук дело, аноним Приберись там, негоже оставлять после себя мусор... весь текст скрыт [показать]
     
     
  • 10.127, Аноним, 17:09, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Таки goto обычное дело в обработке ошибок Потому что если все профакапилось, вл... весь текст скрыт [показать]
     
     
  • 11.134, Anonymoustus, 20:31, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Уговорил ... весь текст скрыт [показать]
     
  • 5.114, anomymous, 12:56, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален Сами догадаетесь, почему этот метод является ущербным ... весь текст скрыт [показать]
     
  • 4.119, Аноним, 15:59, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    for u32 foo HUGE foo --foo for u32 bar HUGE2 bar --bar i... весь текст скрыт [показать]
     
     
  • 5.140, Аноним, 12:29, 21/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > foo = 0;

    классический костыль. руки отрывать.

     
  • 3.58, adolfus, 19:19, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    GOTO -- нормальная команда Без нее нет жизни Для выскочить из вложенного цикла... весь текст скрыт [показать]
     
     
  • 4.60, A.Stahl, 19:41, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла.
     
  • 4.66, Аноним, 20:59, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А нечего вложенные циклы лепить Функциональщики и вовсе без них как-то живут, и... весь текст скрыт [показать]
     
     
  • 5.69, Аноним, 22:20, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб... весь текст скрыт [показать]
     
  • 5.141, Аноним, 12:30, 21/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Функциональщики и вовсе без них как-то живут

    У функциональщиков есть лямбды

     
  • 4.89, mickvav, 09:29, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Если синтаксический разбор делать yacc-ом, то все goto он создаст сам, а в коде ... весь текст скрыт [показать]
     
  • 3.84, Онаним, 06:09, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Согласен В школьные годы всегда считал, что в каждом нормальном языке должна бы... весь текст скрыт [показать]
     
     
  • 4.123, Аноним, 20:31, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Насколько чуть Полгода хотя бы прошло ... весь текст скрыт [показать]
     
  • 3.96, Аноним, 14:37, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Про ассемблерный JMP такой бучи не было
     
     
  • 4.116, anomymous, 12:57, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот да, только хотел предложить убрать JMP и оформлять всё CALL RET ами ... весь текст скрыт [показать]
     
  • 2.32, pda, 15:48, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Т е использование eval вас смущает, а широковещательная рассылка сообщений с ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Аноним, 17:39, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    И что именно там смущать должно ... весь текст скрыт [показать]
     
     
  • 4.142, Аноним, 12:35, 21/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Может то же самое, что и вариант чисто широковещательного TCP без маршрутировани... весь текст скрыт [показать]
     
  • 3.53, Аноним84701, 18:14, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Возможно, изучение протокола по новостям на опеннете - не самый лучший подход ... весь текст скрыт [показать]
     
  • 3.70, Аноним, 22:30, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс... весь текст скрыт [показать]
     
  • 1.2, Аноним, 12:12, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Эталон дырявости.
     
  • 1.5, Аноним, 12:31, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Питон, одним словом.
     
     
  • 2.6, курлык курлык, 12:36, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Ага, не проверите границы массивов в С - привет переполнение, рут права Не в ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Аноним, 13:51, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Используй range-based for loop, передавай по ссылке, и не будет переполнения.
     
     
  • 4.15, trolleybus, 13:56, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Так вот в чистом Си range-based и нет, она только в плюсах.
     
     
  • 5.18, Аноним, 14:04, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В Си есть макросы.
    Python лучше сравнивать с C++. Си - скорее системный язык.
     
     
  • 6.135, Аноним, 21:42, 19/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Для любителей хайлевела на си есть libcello Там и итераторы есть, и лямбды, и ч... весь текст скрыт [показать]
     
     
  • 7.139, Аноним, 22:30, 19/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС Сборщик мусо... весь текст скрыт [показать]
     
  • 5.54, Crazy Alex, 18:34, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ну вот и пользуйтесь плюсами
     
     
  • 6.62, Он самый, 19:56, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ... а мы будем и дальше за границы массива выходить. Думаю так задумывалось
     
     
  • 7.67, Crazy Alex, 21:08, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Э кем задумывалось Если обо мне речь - то наоборот, я не вижу ни одной причи... весь текст скрыт [показать]
     
     
  • 8.128, Аноним, 17:13, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    На сях в коде больше народа потом может разобраться На плюсах заканчивается тем... весь текст скрыт [показать]
     
  • 3.16, Аноним, 13:59, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Питон - высокоуровневый язык И программист, и пользователи за это платят гигант... весь текст скрыт [показать]
     
     
  • 4.19, нах, 14:06, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их ... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 14:40, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи... весь текст скрыт [показать]
     
     
  • 6.26, Аноним, 14:52, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиро... весь текст скрыт [показать]
     
     
  • 7.35, Аноним, 16:29, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Стим работает приемлемо Не так плохо, как скайп, но и не хорошо При том до это... весь текст скрыт [показать]
     
     
  • 8.129, Аноним, 17:53, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Как угодно но игроделы это все-же не хипстеры И плохо, не плохо, напиши лучше и... весь текст скрыт [показать]
     
  • 6.51, Anonymoustus, 18:06, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Всё правильно Поэтому надо строить фабрики по сжиганию программистов Слишком и... весь текст скрыт [показать]
     
  • 3.29, Iaaa, 15:25, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобо... весь текст скрыт [показать]
     
  • 2.47, Аноним, 17:55, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    А что скажут анонимные аналитки о недавней уязвимости в КДЕ https www opennet... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, Нет ты, 20:53, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А вот в Rust такого не было бы https doc rust-lang org std process struct Com... весь текст скрыт [показать]
     
  • 3.124, Аноним, 10:37, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Втыкал флешку в Plasma 5 10 с меткой тома kcalc , не запускается Похоже, что и... весь текст скрыт [показать]
     
  • 1.7, Пиони, 12:46, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы использовать eval
     
     
  • 2.8, анончег, 13:12, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +8 +/
    Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали писать! Вот там без eval-а никак!
     
     
  • 3.9, Анонй, 13:26, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Если без eval никак да еще и со взодящими данными то это уже вопрос компетентности писателя
     
     
  • 4.10, A.Stahl, 13:35, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неис... весь текст скрыт [показать]
     
  • 4.22, Аноним, 14:15, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повеш... весь текст скрыт [показать]
     
     
  • 5.45, Аноним, 17:48, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    https www opennet ru opennews art shtml num 48038 Всегда знал, что кедерасты н... весь текст скрыт [показать]
     
  • 2.43, Аноним, 17:44, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, Anonymoustus, 18:09, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Иногда в ИТ 8212 очень часто проблема в инструменте Точнее в том, что не с... весь текст скрыт [показать]
     
     
  • 4.61, Аноним, 19:56, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обез... весь текст скрыт [показать]
     
     
  • 5.65, Аноним, 20:58, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    И кто же тогда будет писать и переписывать приложения для браузеров, менять ме... весь текст скрыт [показать]
     
     
  • 6.78, Аноним, 00:51, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Действительно, я упустил из виду необходимые и важные для обезьян вещи ... весь текст скрыт [показать]
     
  • 5.73, Anonymoustus, 22:36, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А как это сделать Раньше этому препятствовал сравнительно высокий порог вхожден... весь текст скрыт [показать]
     
     
  • 6.79, Аноним, 00:52, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    заменить их работу алгоритмами
     
  • 4.117, anomymous, 12:59, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Проблема не в инструменте Проблема в доступе обезьяны к таковому ... весь текст скрыт [показать]
     
  • 3.94, Аноним, 14:26, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вы не путайте перловый эвал, который eval code here с питоновским эвалом, ... весь текст скрыт [показать]
     
     
  • 4.97, Аноним, 14:40, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    подскажите в чем отличие Перл может евалить как выражение, так и блок по сути э... весь текст скрыт [показать]
     
     
  • 5.107, Аноним, 06:17, 17/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    ~ $ perldoc -f eval

    Достаточно исчерпывающая дока.

     
  • 4.106, Аноним, 06:16, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В перле две формы eval a, если что eval , оно не влияет на скорость выполнен... весь текст скрыт [показать]
     
  • 3.95, Аноним, 14:37, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Честно говоря не встречал в перле случаев, когда евал нужен не для обработки ис... весь текст скрыт [показать]
     
     
  • 4.108, Аноним, 06:20, 17/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Выше, #106
     
  • 2.76, Аноним, 23:37, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pi... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.85, pangolin, 08:24, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    на самом деле pickle для внешних данных это тоже бекдор Если нужно обменивать... весь текст скрыт [показать]
     
     
  • 4.132, Аноним, 18:42, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Именно так Но половина пакетов поставляется с пиклами Вторая половина не имеет... весь текст скрыт [показать]
     
  • 4.136, Аноним, 21:51, 19/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень ... весь текст скрыт [показать]
     
  • 1.11, Аноним, 13:42, 15/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот вам и типа безопасные языки И они от уязвимостей не застрахованы, а то тут ... весь текст скрыт [показать]
     
     
  • 2.20, Аноним, 14:10, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Фронты производительности, потребления ресурсов и безопасности питона прорваны ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.125, Аноним, 10:42, 18/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Такое и других скриптовых языков может касаться и исполняемой в JVM Жабы тоже.
     
  • 2.39, PnDx, 17:17, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    php не менее безопасный. И (местами) более производительный. А толку?
     
  • 1.12, тоже Аноним, 13:46, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Eval внешних данных - это не уязвимость.
    Это бэкдор.
     
     
  • 2.120, Нанобот, 16:17, 17/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Бэкдор - это если добавлено умышленно с целью получения несанкционированного дос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.121, Аноним84701, 18:02, 17/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Правдоподобное отрицание plausible deniability , как термин, не зря придумали... весь текст скрыт [показать]
     
  • 1.13, Xasd, 13:48, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    > Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных

    вот бывают же идииоты..

    человеку не хватило возможностей языка СВЕРХвысокого уровня и он решил расширить их за счёт eval()

     
     
  • 2.27, Аноним, 14:54, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Люди не хотят думать и работать Поэтому питон, электрон и им подобные в тренде ... весь текст скрыт [показать] [показать ветку]
     
  • 2.56, Crazy Alex, 18:38, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Мозгов ему не хватило
     
  • 1.24, ILoveIslam, 14:16, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    Ничего страшного, там ещё есть запас в 2 eval'a, для любителей похакать:

    https://github.com/Bitmessage/PyBitmessage/search?q=eval&type=Code&utf8=%

     
     
  • 2.28, Аноним, 15:08, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Второй вполне себе напоминает бэкдор address userInput What address would yo... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.102, username, 21:09, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Это божественно
     
     
  • 4.137, Аноним, 21:55, 19/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Это божественно

    С каких пор codermonkey относят к священным животным?!

     
  • 1.30, Аноним, 15:26, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > 2018
    > уязвимость с eval
     
     
  • 2.118, anomymous, 13:01, 17/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Не просто уязвимость с eval, а передача untrusted input для выполнения в eval ... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Аноним, 15:42, 15/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    electrum wallets Они же шифрованные, пока пароль не введёшь Electrum не знае... весь текст скрыт [показать]
     
     
  • 2.34, Аноним, 16:27, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну может пароль в глобальной переменной скриптонщиков всего можно ожидать Тогд... весь текст скрыт [показать] [показать ветку]
     
  • 2.36, Аноним, 16:52, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    прям все шифрованные?
     
  • 1.33, Аноним, 15:57, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    а дальше беспощадный брут
     
     
  • 2.40, PnDx, 17:22, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Делать больше нечего Вешаешь кей-логгер Если не терпится, можно спровоцирова... весь текст скрыт [показать] [показать ветку]
     
  • 1.37, Аноним, 17:04, 15/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    я, видимо, туповат Поясните, пожалуйста, какая взаимосвязь между PyBitmessage ... весь текст скрыт [показать]
     
     
  • 2.57, Crazy Alex, 18:39, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 19:20, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    я с 2013-го года имею дело с криптой в основном по работе ни разу не слышал про ... весь текст скрыт [показать]
     
     
  • 4.68, Crazy Alex, 21:17, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоин... весь текст скрыт [показать]
     
  • 3.130, Аноним, 17:58, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Его пишут хипстеры и пользуются такие же хипстеры Даже не панки Cypherpunks пр... весь текст скрыт [показать]
     
  • 1.49, Anonymoustus, 18:02, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    > Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы.

    Это прекрасно и православно.

     
  • 1.72, Аноним, 22:31, 15/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Авот на телеграме...
     
     
  • 2.86, Аноним, 08:31, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Минимум у одного свидетеля безопасного телеграма рвануло, найс.
     
  • 1.74, Аноним, 22:59, 15/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv... весь текст скрыт [показать]
     
     
  • 2.91, Аноним, 11:32, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Насчет бэкдора - согласен Насчет припарок к питону - нет Так можно на каждый ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.103, Аноним, 22:43, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Сама по себе система не защищает Зато она даёт индикацию, что может скомпромити... весь текст скрыт [показать]
     
  • 2.93, неймфаг, 11:46, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    After all, we are all consenting adults here.
     
     
  • 3.105, Аноним, 23:58, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Оно и видно, что доступ к кошелькам был санкционированным.
     
  • 2.101, Crazy Alex, 20:25, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Милашка Как простыню бреда писать - так пожалуйста, как запостить туда, где он... весь текст скрыт [показать] [показать ветку]
     
  • 2.131, Аноним, 18:01, 18/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Знаешь, если хоть раз в жизни bitmessage увидеть - это таки может быть и уязвимо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.133, Аноним, 18:45, 18/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тупняк это, возможно, мельтдаун eval же удаленной строки данных - это не тупняк... весь текст скрыт [показать]
     
     
  • 4.138, Аноним, 22:04, 19/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать Что ту... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor