The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.02.2018 11:42  Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage

В PyBitmessage, эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2, но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли.

Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных. Злоумышленник мог отправить сообщение, приводящее к выполнению произвольного Python-кода. Уязвимость активно использовалась для копирования файлов с кошельками ("~/.electrum/wallets/") с системы пользователей. В ходе атаки также зафиксирован запуск бэкдора для организации доступа извне, позволяющего получить содержимое любых файлов в системе.

Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы. Тем не менее, судя по всему, основной целью атаки стали распространители вредоносных шифровальщиков, которые в последнее время активно используют Bitmessage для организации каналов связи с жертвами.

Децентрализованная p2p-сеть Bitmessage использует похожие на Bitcoin принципы построения распределённой шифрованной цепочки блоков, но вместо хранения информации о денежных транзакциях, ориентирована на пересылку сообщений. Сообщения в Bitmessage рассылаются широковещательно, но только получатель может расшифровать адресованное ему сообщение. Адресат не указывается, поэтому каждый участник получает все сообщения в сети и пытается расшифровать каждое сообщение и если сообщение адресовано ему, то расшифровка удаётся и в хранилище сообщений добавляется подтверждение получения. Если сообщение не было расшифровано в течение двух дней, оно удаляется из распределённого хранилища.

  1. Главная ссылка к новости (https://www.reddit.com/r/bitme...)
  2. OpenNews: Выпуск bitmessage-клиента Pechkin 0.3
  3. OpenNews: Уязвимость в Apache Struts стала причиной утечки персональных данных 143 млн американцев
  4. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  5. OpenNews: Вредоносное ПО организует майнинг криптовалют на серверах с незакрытыми уязвимостями
  6. OpenNews: Мошенники смогли разместить на YouTube рекламу с кодом для майнинга криптовалюты
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: bitmessage, bitcoin
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 12:11, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +15 +/
    > eval()

    Игрушечные языки такие игрушечные.

     
     
  • 2.3, A.Stahl (ok), 12:15, 15/02/2018 [^] [ответить]    [к модератору]
  • +13 +/
    В своё время была истерия по поводу goto в результате которой про эту команду уже не каждый программист и знает-то иначе кроме как из анекдотов.
    Может стоит среди скриптовиков поднять такую же бучу по поводу eval?
     
     
  • 3.17, pavlinux (ok), 14:01, 15/02/2018 [^] [ответить]    [к модератору]
  • –9 +/
    >  goto в результате которой про эту команду уже не каждый программист и знает-то

    Это копипастакодеры, а не программисты.

     
  • 3.38, eganru (?), 17:09, 15/02/2018 [^] [ответить]     [к модератору]
  • +2 +/
    code __label__ exit for u32 foo HUGE foo --foo for u32 bar HU... весь текст скрыт [показать]
     
     
  • 4.41, A.Stahl (ok), 17:25, 15/02/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    И?
     
  • 4.71, Аноним (-), 22:30, 15/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен.
     
     
  • 5.77, eganru (?), 00:15, 16/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    i лучше в отдельную функцию выделить i - и это будет яркий пример костыля лиш... весь текст скрыт [показать]
     
     
  • 6.82, iPony (?), 05:58, 16/02/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    Кстати про единорогов Правильность кода - это не пустые слова Можешь хоть ск... весь текст скрыт [показать]
     
     
  • 7.87, eganru (?), 08:32, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    i этакого фундаментального по голове i - я неоднократно видел как куски CENS... весь текст скрыт [показать]
     
  • 6.83, iPony (?), 05:59, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    PS: https://twitter.com/Code_Analysis/status/963450814059696129
     
  • 5.113, anomymous (?), 12:55, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен.

    Даёшь каждому циклу по функции. А лучше - по целому классу.
    ... о времена, о нравы ...

     
  • 4.80, Аноним (-), 02:30, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    bool cancel false for u32 foo HUGE foo cancel --foo for u32... весь текст скрыт [показать]
     
     
  • 5.88, mickvav (?), 09:26, 16/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    По производительности уступает варианту с goto. Всё в функцию и return - это да.
     
     
  • 6.90, eganru (?), 11:12, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    на создание дополнительной функции должны быть серьезные аргументы.

    добавит ли в таком случае функция ясности? точно нет. зачем тогда кого-то этим всем путать?

     
     
  • 7.104, А (??), 23:13, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Конечно Гораздо же лучше одна функция на тысячи две строк и с кучей вложенных д... весь текст скрыт [показать]
     
     
  • 8.109, eganru (?), 08:58, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    i Гораздо же лучше одна функция на тысячи две строк i - это Вы написали Я эт... весь текст скрыт [показать]
     
  • 8.115, anomymous (?), 12:56, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    В ядре Linux полно таких goto И ничего - всё нормально ... весь текст скрыт [показать]
     
     
  • 9.122, Anonymoustus (ok), 19:02, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Так это твоих рук дело, аноним Приберись там, негоже оставлять после себя мусор... весь текст скрыт [показать]
     
     
  • 10.127, Аноним (-), 17:09, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Таки goto обычное дело в обработке ошибок Потому что если все профакапилось, вл... весь текст скрыт [показать]
     
     
  • 11.134, Anonymoustus (ok), 20:31, 18/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Таки goto обычное дело в обработке ошибок. Потому что если все профакапилось,
    > вложенными циклами не отвертишься, знаешь ли.

    Уговорил.

     
  • 5.114, anomymous (?), 12:56, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален Сами догадаетесь, почему этот метод является ущербным ... весь текст скрыт [показать]
     
  • 4.119, Аноним (-), 15:59, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    for(u32 foo = HUGE; foo; --foo){
        for(u32 bar = HUGE2; bar; --bar){
            if(unlikely(cond(bar)){
                foobar(foo, bar);
                foo = 0;
                break;
            }
        }
    }
     
     
  • 5.140, Аноним (-), 12:29, 21/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > foo = 0;

    классический костыль. руки отрывать.

     
  • 3.58, adolfus (ok), 19:19, 15/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    GOTO -- нормальная команда Без нее нет жизни Для выскочить из вложенного цикла... весь текст скрыт [показать]
     
     
  • 4.60, A.Stahl (ok), 19:41, 15/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла.
     
  • 4.66, Аноним (-), 20:59, 15/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > вложенного цикла

    А нечего вложенные циклы лепить. Функциональщики и вовсе без них как-то живут, и ниче.

     
     
  • 5.69, Аноним (-), 22:20, 15/02/2018 [^] [ответить]     [к модератору]  
  • –4 +/
    Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб... весь текст скрыт [показать]
     
  • 5.141, Аноним (-), 12:30, 21/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Функциональщики и вовсе без них как-то живут

    У функциональщиков есть лямбды

     
  • 4.89, mickvav (?), 09:29, 16/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Если синтаксический разбор делать yacc-ом, то все goto он создаст сам, а в коде ... весь текст скрыт [показать]
     
  • 3.84, Онаним (?), 06:09, 16/02/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Согласен В школьные годы всегда считал, что в каждом нормальном языке должна бы... весь текст скрыт [показать]
     
     
  • 4.123, Аноним (-), 20:31, 17/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > но только чуть подрос - сразу понял

    Насколько "чуть"? Полгода хотя бы прошло?

     
  • 3.96, Аноним (-), 14:37, 16/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Про ассемблерный JMP такой бучи не было
     
     
  • 4.116, anomymous (?), 12:57, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Про ассемблерный JMP такой бучи не было

    Вот да, только хотел предложить убрать JMP и оформлять всё CALL/RET'ами.

     
  • 2.32, pda (?), 15:48, 15/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Т.е. использование eval() вас смущает, а широковещательная рассылка сообщений с попыткой их расшифровки и масштабирование этой схемы на весь мир - нет? ;-)
     
     
  • 3.42, Аноним (-), 17:39, 15/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > а широковещательная рассылка сообщений с попыткой
    > их расшифровки и масштабирование этой схемы на весь мир - нет?
    > ;-)

    И что именно там смущать должно?

     
     
  • 4.142, Аноним (-), 12:35, 21/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Может то же самое, что и вариант чисто широковещательного TCP без маршрутировани... весь текст скрыт [показать]
     
  • 3.53, Аноним84701 (ok), 18:14, 15/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Возможно, изучение протокола по новостям на опеннете - не самый лучший подход ... весь текст скрыт [показать]
     
  • 3.70, Аноним (-), 22:30, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс... весь текст скрыт [показать]
     
     ....нить скрыта, показать (37)

  • 1.2, Аноним (-), 12:12, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эталон дырявости.
     
  • 1.5, Аноним (-), 12:31, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Питон, одним словом.
     
     
  • 2.6, курлык курлык (?), 12:36, 15/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Ага, не проверите границы массивов в С - привет переполнение, рут права... Не в питоне дело, а в людях.
     
     
  • 3.14, Аноним (-), 13:51, 15/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Используй range-based for loop, передавай по ссылке, и не будет переполнения.
     
     
  • 4.15, trolleybus (?), 13:56, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Так вот в чистом Си range-based и нет, она только в плюсах.
     
     
  • 5.18, Аноним (-), 14:04, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    В Си есть макросы.
    Python лучше сравнивать с C++. Си - скорее системный язык.
     
     
  • 6.135, Аноним (-), 21:42, 19/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > В Си есть макросы.

    Для любителей хайлевела на си есть libcello. Там и итераторы есть, и лямбды, и чего там еще. Си вообще штука довольно гибкая на самом деле.


     
     
  • 7.139, Аноним (-), 22:30, 19/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС Сборщик мусо... весь текст скрыт [показать]
     
  • 5.54, Crazy Alex (ok), 18:34, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    ну вот и пользуйтесь плюсами
     
     
  • 6.62, Он самый (?), 19:56, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    ... а мы будем и дальше за границы массива выходить. Думаю так задумывалось
     
     
  • 7.67, Crazy Alex (ok), 21:08, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Э кем задумывалось Если обо мне речь - то наоборот, я не вижу ни одной причи... весь текст скрыт [показать]
     
     
  • 8.128, Аноним (-), 17:13, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    На сях в коде больше народа потом может разобраться На плюсах заканчивается тем... весь текст скрыт [показать]
     
  • 3.16, Аноним (-), 13:59, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Питон - высокоуровневый язык И программист, и пользователи за это платят гигант... весь текст скрыт [показать]
     
     
  • 4.19, нах (?), 14:06, 15/02/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их ... весь текст скрыт [показать]
     
     
  • 5.25, Аноним (-), 14:40, 15/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи... весь текст скрыт [показать]
     
     
  • 6.26, Аноним (-), 14:52, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиро... весь текст скрыт [показать]
     
     
  • 7.35, Аноним (-), 16:29, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Стим работает приемлемо. Не так плохо, как скайп, но и не хорошо. При том до этого лет 10 работал плохо.
     
     
  • 8.129, Аноним (-), 17:53, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Как угодно но игроделы это все-же не хипстеры И плохо, не плохо, напиши лучше и... весь текст скрыт [показать]
     
  • 6.51, Anonymoustus (ok), 18:06, 15/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Всё правильно Поэтому надо строить фабрики по сжиганию программистов Слишком и... весь текст скрыт [показать]
     
  • 3.29, Iaaa (ok), 15:25, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобо... весь текст скрыт [показать]
     
  • 2.47, Аноним (-), 17:55, 15/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    А что скажут анонимные аналитки о недавней уязвимости в КДЕ https www opennet... весь текст скрыт [показать]
     
     
  • 3.63, Нет ты (?), 20:53, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    А вот в Rust такого не было бы!
    https://doc.rust-lang.org/std/process/struct.Command.html#me...
     
  • 3.124, Аноним (-), 10:37, 18/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Втыкал флешку в Plasma 5.10 с меткой тома 'kcalc', не запускается. Похоже, что именно в 5.12.0 эту "фичу" запилили.
     
     ....нить скрыта, показать (21)

  • 1.7, Пиони (?), 12:46, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +8 +/
    Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы использовать eval
     
     
  • 2.8, анончег (?), 13:12, 15/02/2018 [^] [ответить]    [к модератору]  
  • +8 +/
    Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали писать! Вот там без eval-а никак!
     
     
  • 3.9, Анонй (?), 13:26, 15/02/2018 [^] [ответить]    [к модератору]  
  • +7 +/
    Если без eval никак да еще и со взодящими данными то это уже вопрос компетентности писателя
     
     
  • 4.10, A.Stahl (ok), 13:35, 15/02/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неисправен :)
     
  • 4.22, Аноним (-), 14:15, 15/02/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повешенного о верёвке.
     
     
  • 5.45, Аноним (-), 17:48, 15/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    https www opennet ru opennews art shtml num 48038 Всегда знал, что кедерасты н... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 17:44, 15/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval ... весь текст скрыт [показать]
     
     
  • 3.52, Anonymoustus (ok), 18:09, 15/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Иногда (в ИТ — очень часто) проблема в инструменте. Точнее в том, что не существует способов не дать обезьяне в руки гранату. А дальше уже обезьяна найдёт способ отыскать в гранате чеку.
     
     
  • 4.61, Аноним (-), 19:56, 15/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обезьяна попадает в ИТ индустрию. Если сделать невозможным попадание обезьян в ИТ, то проблем в инструменте нет. Так что ..
     
     
  • 5.65, Аноним (-), 20:58, 15/02/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    И кто же тогда будет писать и переписывать приложения для браузеров, менять ме... весь текст скрыт [показать]
     
     
  • 6.78, Аноним (-), 00:51, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Действительно, я упустил из виду необходимые и важные для обезьян вещи ... весь текст скрыт [показать]
     
  • 5.73, Anonymoustus (ok), 22:36, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    А как это сделать Раньше этому препятствовал сравнительно высокий порог вхожден... весь текст скрыт [показать]
     
     
  • 6.79, Аноним (-), 00:52, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    заменить их работу алгоритмами
     
  • 4.117, anomymous (?), 12:59, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Проблема не в инструменте Проблема в доступе обезьяны к таковому ... весь текст скрыт [показать]
     
  • 3.94, Аноним (-), 14:26, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Вы не путайте перловый эвал, который eval { code here ; } с питоновским эвалом, который принимает строку.
     
     
  • 4.97, Аноним (-), 14:40, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    подскажите в чем отличие Перл может евалить как выражение, так и блок по сути э... весь текст скрыт [показать]
     
     
  • 5.107, Аноним (-), 06:17, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    ~ $ perldoc -f eval

    Достаточно исчерпывающая дока.

     
  • 4.106, Аноним (-), 06:16, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    В перле две формы eval a, если что eval , оно не влияет на скорость выполнен... весь текст скрыт [показать]
     
  • 3.95, Аноним (-), 14:37, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Честно говоря не встречал в перле случаев, когда евал нужен не для обработки ис... весь текст скрыт [показать]
     
     
  • 4.108, Аноним (-), 06:20, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Выше, #106
     
  • 2.76, Аноним (-), 23:37, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций
    > где нужно было бы использовать eval

    Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pickle

     
     
  • 3.85, pangolin (?), 08:24, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    на самом деле pickle для внешних данных это тоже бекдор :)
    Если нужно обмениваться сложными данными - используйте json/xml/yaml и т.п. ну или свой язык реализуйте...
     
     
  • 4.132, Аноним (-), 18:42, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Именно так Но половина пакетов поставляется с пиклами Вторая половина не имеет... весь текст скрыт [показать]
     
  • 4.136, Аноним (-), 21:51, 19/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (23)

  • 1.11, Аноним (-), 13:42, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вот вам и типа безопасные языки. И они от уязвимостей не застрахованы, а то тут принято на Сишечку наезжать.
     
     
  • 2.20, Аноним (-), 14:10, 15/02/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Фронты производительности, потребления ресурсов и безопасности питона прорваны ... весь текст скрыт [показать]
     
     
  • 3.125, Аноним (-), 10:42, 18/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Такое и других скриптовых языков может касаться и исполняемой в JVM Жабы тоже.
     
  • 2.39, PnDx (ok), 17:17, 15/02/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    php не менее безопасный. И (местами) более производительный. А толку?
     
  • 1.12, тоже Аноним (ok), 13:46, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +10 +/
    Eval внешних данных - это не уязвимость.
    Это бэкдор.
     
     
  • 2.120, Нанобот (ok), 16:17, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Бэкдор - это если добавлено умышленно с целью получения несанкционированного дос... весь текст скрыт [показать]
     
     
  • 3.121, Аноним84701 (ok), 18:02, 17/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Правдоподобное отрицание plausible deniability , как термин, не зря придумали... весь текст скрыт [показать]
     
  • 1.13, Xasd (ok), 13:48, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных

    вот бывают же идииоты..

    человеку не хватило возможностей языка СВЕРХвысокого уровня и он решил расширить их за счёт eval()

     
     
  • 2.27, Аноним (-), 14:54, 15/02/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    Люди не хотят думать и работать. Поэтому питон, электрон и им подобные в тренде. Вот только выясняется, что не панацея, что думать то все равно надо...
     
  • 2.56, Crazy Alex (ok), 18:38, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Мозгов ему не хватило
     
  • 1.24, ILoveIslam (?), 14:16, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Ничего страшного, там ещё есть запас в 2 eval'a, для любителей похакать:

    https://github.com/Bitmessage/PyBitmessage/search?q=eval&type=Code&utf8=%

     
     
  • 2.28, Аноним (-), 15:08, 15/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Второй вполне себе напоминает бэкдор address userInput What address would yo... весь текст скрыт [показать]
     
     
  • 3.102, username (??), 21:09, 16/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Это божественно
     
     
  • 4.137, Аноним (-), 21:55, 19/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Это божественно

    С каких пор codermonkey относят к священным животным?!

     
  • 1.30, Аноним (-), 15:26, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > 2018
    > уязвимость с eval
     
     
  • 2.118, anomymous (?), 13:01, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >> 2018
    >> уязвимость с eval

    Не просто уязвимость с eval, а передача untrusted input для выполнения в eval.
    Это отдельная, элитная категория.

     
  • 1.31, Аноним (-), 15:42, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ~/.electrum/wallets/

    Они же шифрованные, пока пароль не введёшь Electrum не знает что с ними делать. Толку их копировать?

     
     
  • 2.34, Аноним (-), 16:27, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну может пароль в глобальной переменной? скриптонщиков всего можно ожидать. Тогда в контексте eval он будет. Осталось его только вывести как и содержимое кошельков.
     
  • 2.36, Аноним (-), 16:52, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    прям все шифрованные?
     
  • 1.33, Аноним (-), 15:57, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а дальше беспощадный брут
     
     
  • 2.40, PnDx (ok), 17:22, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > а дальше беспощадный брут

      Делать больше нечего? Вешаешь кей-логгер. Если не терпится, можно спровоцировать ребут. eval в дикой природе — прекрасен. </sarcasm>

     
  • 1.37, Аноним (-), 17:04, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    я, видимо, туповат.
    Поясните, пожалуйста, какая взаимосвязь между
    PyBitmessage (никогда о нем не слышал)
    и Electrum (использую)
    кроме как язык ЯП?
     
     
  • 2.57, Crazy Alex (ok), 18:39, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно и родилось из разговоров на bitcointalk, если я правильно помню.
     
     
  • 3.59, Аноним (-), 19:20, 15/02/2018 [^] [ответить]    [к модератору]  
  • +/
    я с 2013-го года имею дело с криптой
    в основном по работе
    ни разу не слышал про Bitmessage

    чего тока люди не готовы написать на питоне :)

    спасибо за инфо буду на хайпе теперь.

     
     
  • 4.68, Crazy Alex (ok), 21:17, 15/02/2018 [^] [ответить]     [к модератору]  
  • +/
    По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоин... весь текст скрыт [показать]
     
  • 3.130, Аноним (-), 17:58, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Его пишут хипстеры и пользуются такие же хипстеры Даже не панки Cypherpunks пр... весь текст скрыт [показать]
     
  • 1.49, Anonymoustus (ok), 18:02, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы.

    Это прекрасно и православно.

     
  • 1.72, Аноним (-), 22:31, 15/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Авот на телеграме...
     
     
  • 2.86, Аноним (-), 08:31, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Минимум у одного свидетеля безопасного телеграма рвануло, найс.
     
  • 1.74, Аноним (-), 22:59, 15/02/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv... весь текст скрыт [показать]
     
     
  • 2.91, Аноним (-), 11:32, 16/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Насчет бэкдора - согласен Насчет припарок к питону - нет Так можно на каждый ... весь текст скрыт [показать]
     
     
  • 3.103, Аноним (-), 22:43, 16/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Сама по себе система не защищает Зато она даёт индикацию, что может скомпромити... весь текст скрыт [показать]
     
  • 2.93, неймфаг (?), 11:46, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    After all, we are all consenting adults here.
     
     
  • 3.105, Аноним (-), 23:58, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Оно и видно, что доступ к кошелькам был санкционированным.
     
  • 2.101, Crazy Alex (ok), 20:25, 16/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Милашка.
    Как простыню бреда  писать - так пожалуйста, как запостить туда, где она хоть как-то условно была бы уместна - "Регаться на баг-трекере не буду, залейте туда текст этого сообщения за меня".
     
  • 2.131, Аноним (-), 18:01, 18/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Знаешь, если хоть раз в жизни bitmessage увидеть - это таки может быть и уязвимо... весь текст скрыт [показать]
     
     
  • 3.133, Аноним (-), 18:45, 18/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >Чего такое удивление очередному мелкому тупняку?

    Тупняк это, возможно, мельтдаун. eval же удаленной строки данных - это не тупняк, это бекдор самый натуральный, слепым шеллом называется.

     
     
  • 4.138, Аноним (-), 22:04, 19/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать Что ту... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor