The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива

15.05.2022 01:03

В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7. Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.

Проблема вызвана отсутствием должной проверки последовательности "/.." в файловых путях, указанных в архиве, что позволяет при распаковке выйти за границы базового каталога. Например, разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" в момент распаковки.

  1. Главная ссылка к новости (http://cve.mitre.org/cgi-bin/c...)
  2. OpenNews: Уязвимость в 7-Zip, позволяющая получить привилегии SYSTEM в Windows
  3. OpenNews: Уязвимость Zip Slip, затрагивающая библиотеки для распаковки архивов
  4. OpenNews: Уязвимость в GNU tar, позволяющая перезаписать сторонние файлы
  5. OpenNews: Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива
  6. OpenNews: Уязвимость в zlib, проявляющаяся при сжатии специально оформленных данных
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57190-rar
Ключевые слова: rar
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (123) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:50, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Вечная уязвимость
     
     
  • 2.9, ИмяХ (?), 09:47, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –17 +/
    Это из начал но было так задумано. Этой фичу использовали многие инсталляторы. Только в мире швaбодного по это вдруг стало "уязвимостью"
     
     
  • 3.12, And (??), 10:06, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Программировать - это гораздо сложнее фронт-энда. Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать.
     
     
  • 4.25, Аноним (25), 12:19, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это уже шутка недели не меньше.
     
  • 4.91, Массоны Рептилоиды (?), 10:53, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать

    Да ну, бред какой-то

     
  • 3.50, Аноним (-), 15:43, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Только в мире швaбодного по это вдруг стало "уязвимостью"

    Чисто поржать, RAR и UNRAR - не есть "свободное ПО". Как максимум на консольный unrar сорцы есть, но даже они ни разу не свободные, под левой квазипроприетарной лицензией. Но спасибо за testimonial, перенаправим его б-дским проприетариям :)

     
     
  • 4.57, Аноним (57), 17:58, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только люди, у которых есть альтернатива в виде качественного свободного ПО, жалуются. Что не так?
     
     
  • 5.70, Аноним (70), 19:22, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Он же сказал о том, что они всю жизнь таким обмазывались и
    > просили ещё, и только люди, у которых есть альтернатива в виде
    > качественного свободного ПО, жалуются. Что не так?

    Мне кажется, он не это имел в виду, но получилось прикольно :)

     
  • 5.72, Гыгыгы (?), 19:24, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Про качество он не говорил. Как правило, закрытое ПО качественнее.
     
     
  • 6.78, Аноним (-), 22:10, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Мне наприме опенсорсный линукс как-то сильно больше винды нравится. Особенно ядро. Там народу вот реально нравится делать клевую штуку, с душой фигарят. В отличие от унылых безымянных ботов из майкрософта. Поэтому когда я натыкался на те или иные системные траблы, мы их сообща гасили. И занимало это ну может самый край пару дней. После чего у меня система еще лучше чем раньше и я могу ее прикручивать дальше к моим (и кастомерским) задачам. А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал. И в этом месте я готов поспорить о качестве.
     
     
  • 7.105, Аноним (105), 15:00, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А погасите трабл с ускорением видео в браузерах. Можно не за пару дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.
     
     
  • 8.113, Аноним (-), 22:19, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно п... текст свёрнут, показать
     
     
  • 9.126, Аноним (126), 05:25, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вот так всегда как доходит до дела, так сложна нинужна УМВР и так далее ... текст свёрнут, показать
     
  • 9.129, Neon (??), 17:18, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Т е интузиасты любители своего дела без проплаты никак А как распинались про ... текст свёрнут, показать
     
  • 8.123, Аноним (123), 04:39, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе ... текст свёрнут, показать
     
     
  • 9.125, Аноним (126), 05:19, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров... текст свёрнут, показать
     
  • 7.110, Гыгыгы (?), 19:40, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе. И никакие форумы не помогли.

    >А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал

    Так его там ещё поискать надо. Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да. А так не вижу проблем, хотя под линухом их вижу.

    >И в этом месте я готов поспорить о качестве.

    А в чём тут спорить? Ваше УМВР не решит моих проблем с линухом, как и мой УМВР — ваших проблем с виндой. Но в целом закрытое ПО — качественнее. Специализированные приложения тому хороший пример.

     
     
  • 8.120, Аноним (-), 02:36, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут я честно говоря не очень в курсе Мне из этого интересен разве что RTL_S... большой текст свёрнут, показать
     
     
  • 9.127, Гыгыгы (?), 06:06, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я и говорю 8212 УМВР А вот уменя не сложилось А тут будет УМВР с моей сторо... большой текст свёрнут, показать
     
  • 2.48, Аноним (48), 15:16, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Другая классическая проблема: читаем один файл пишем в другой, но забываем проверить, а не один ли это файл. Или не забываем, проверяем, но по путям. Пути разные, а inode один, оказывается второй аргумент был симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

    И ещё миллион таких проблем. А как вишенка на торте - ToUToC для долгоиграющих программ. Проверили всё, всё нормально, начали работу, а файлы переместились (сторонней программой) после нашей проверки, но ещё в процессе работы программы, и приплыли.

    Короче, проверка аргументов команд, особенно если это пути файловой системы - это не так просто, как может показаться.

     
     
  • 3.69, Аноним (-), 19:16, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > по путям. Пути разные, а inode один, оказывается второй аргумент был
    > симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

    В архиве это не должно требовать интерпретации: архивер должен класть в хидеры путь "как есть". Поэтому там нет ни ~ как референса на home (это сугубо фича шелла) ни ../../ т.к. это вообще не является легитимной иерархией которую можно найти в ФС и именно так записать ее содержимое в хидер.

    Однако шаловливыми ручками такой хидер архива можно скроить - и если анпакер не проверит этот момент, жестко налетит на распаковке чего-то не того и не туда, при ничего не подозревающем юзере.

     
     
  • 4.73, Аноним (-), 19:25, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    p.s. это все кстати позволяет ряд приколов уровня ФС. Файл с именем ~ ничему не противоречит, но фаны шелла будут иногда делить на ноль. Блин, в имени файла можно даже 0x0d и 0x0a использовать - и в этом месте те кто пытаются обрабатывать имена файлов как текст могут скушать еще дюжину вулнов. В именах файлов разрешено использовать все кроме NULL (0x00) и '/'. Все остальные значения являются допустимыми. Что и позволяет всякие utf8 имена например без особой переделки софта.
     
     
  • 5.98, PnD (??), 11:42, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит.
    А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат.
    Ещё вариант — сконструировать имя по аналогии с "sql injection" всякими.
    * Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл весёлый атрибут.
    ** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".
     
     
  • 6.116, Аноним (-), 22:29, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Попытка создать такой файл скорее всего обломается - такой файл уже есть, технич... большой текст свёрнут, показать
     

  • 1.2, васёк (?), 09:07, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    ещё одна такая уязвимость - и ухожу на zip !
    достали!!!
     
     
  • 2.4, КО (?), 09:18, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если у меня не выпадет *вайфу_name*, я установлю Ubuntu!
     
  • 2.41, Аноним (41), 13:32, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У zip другая проблема, хранит имена файлов не в юникоде => кракозябры при распаковке на другой платформе. Переходи на 7zip.
     
     
  • 3.43, Аноним (43), 14:00, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    7zip косячнее еще больше. В Генту даже новость приходила о том что стоит его выпмлить из системы.а то и вовсе будет депрекатед. Во Фряхе тоже если делать проверку на уязвимости,то 7zip показывает как бяку.
     
     
  • 4.45, Аноним (43), 14:19, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я всех ввел в заблуждение,в самом деле речь про p7zip
     
     
  • 5.49, Аноним (57), 15:24, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это единственный 7z, который там есть, версия 6 летней давности или около того. В том году исходники свежей версии утекли, да что-то никто не спешит подобрать.
     
     
  • 6.101, Аноним (101), 14:33, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чего исходникам там утекать? Они и так под LGPL. Недавно эталонный 7zip стал официально поддерживать Linux.
     
     
  • 7.104, Аноним (57), 14:53, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там суть в том, что автор зажал исходники актуальных версий, да.
     
  • 4.58, Аноним (58), 18:02, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что не так с версией 2016 года?
     
     
  • 5.86, qetuo (?), 04:57, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, она из 2016 года.
     
  • 3.111, Аноним (111), 20:39, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенной в винду реализацией, которая его не использует
     
     
  • 4.128, www2 (??), 09:40, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А флаг для CP1251 есть? А для CP866? А для KOI-8R?
     
  • 2.60, Cyber100 (ok), 18:23, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    только arj - только хардкор.
     
     
  • 3.71, CAE (ok), 19:22, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    arc - выбор профессионала. Ну или lharc
     
  • 2.97, Аноним (97), 11:42, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не надо доверять чужому коду!
    переходи на RLE!
    пишется за полчаса)
     
     
  • 3.114, Аноним (-), 22:27, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а если файл извне пришел в руре ? так то да, любой дурак может, а ты обнови унрур
     
  • 2.130, Neon (??), 17:20, 24/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это не уязвимость в unrar, а фича. Вполне полезная
     

  • 1.3, iPony129412 (?), 09:18, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Шо, опять?!
     
  • 1.5, ИмяХ (?), 09:29, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Опять виновата дырявая сишка
     
     
  • 2.6, Аноним (6), 09:35, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Здесь не столько сишка сколько отсутствие мозгов.
     
     
  • 3.16, Аноним (1), 10:30, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Надо понимать у тебя мозгов больше чем у разработчиков rar?
     
     
  • 4.19, Бывалый смузихлёб (?), 10:46, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если они настолько посредственно проверяют строки - то даже у начинающего проггера мозгов может оказаться сильно больше
     
     
  • 5.82, Аноним (-), 22:35, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если они настолько посредственно проверяют строки - то даже у начинающего проггера
    > мозгов может оказаться сильно больше

    Начинаюший прогер про прикол ../../ вообще обычно не в курсе. На то и начинающий. А вот когда про него не в курсе матерый волк - это уже какой-то позор.

     
  • 3.39, Аноним (39), 13:30, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Здесь не столько сишка сколько отсутствие мозгов.

    Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром.

     
     
  • 4.79, Аноним (-), 22:11, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты питонист из соседней новости чтоли? :)
     
     
  • 5.102, Аноним (101), 14:36, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Растолиз
     
  • 2.51, Аноним (-), 15:45, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Опять виновата дырявая сишка

    Вообще так можно на любом яп налететь, лишь бы с фс работать умел.

     

  • 1.7, a_kusb (ok), 09:44, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?
     
     
  • 2.10, ИмяХ (?), 09:48, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что значит "нормальное" место? Написано же - насколько позволяют права пользователя, значит все нормально.
     
     
  • 3.30, a_kusb (ok), 12:44, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А что значит "нормальное" место? Написано же - насколько позволяют права пользователя,
    > значит все нормально.

    Кстати да, это удобно же.

     
  • 2.11, Аноним (11), 10:01, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяке. Хотя сейчас эту возможность придется удалять -- люди ее все-таки заметили.
     
     
  • 3.17, Аноним (1), 10:35, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Любому эксперту с opennet 🐓 ясно что это бэкдор
     
     
  • 4.26, Аноним (25), 12:21, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да кто таких уязвимостей только не было и в вебсерверах и черте лысом. Даже автор не считал это уязвимостью, а думал что фича.
     
  • 2.52, Аноним (-), 15:49, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?

    Потому что первое что прихожит кодеру в бошку это взять имя файла (и возможно кусок пути, если сохранено в архиве) - и записать это как есть. Но, как видим, на specially crafted content с этим есть довольно забавные нюансы. Когда это не архиватор из ФС сгенерил, а хитрозадый хакер в хидер прописал ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

    ЧСХ это не очень удачная семантика операций ФС, но во первых, она и легитимно используется, а во вторых - все ее варианты обхода заткнуть не так уж и просто. Можете посмотреть как например вебсервера так имеют, особенно новоделы.

     
     
  • 3.64, Аноним (48), 18:49, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

    Ага. Insufficient privilegies.
    А вот в ~/.bashrc уже писать можно.

    > все ее варианты обхода заткнуть не так уж и просто

    Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?
    $ man realpath

     
     
  • 4.66, Аноним (48), 18:50, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    $ man 3 realpath
     
  • 4.67, Аноним (-), 19:11, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага. Insufficient privilegies.

    Это смотря кто что и куда распаковывал/записывал и какие у него права были.

    > А вот в ~/.bashrc уже писать можно.

    Да много куда и чего можно. Вопрос фантазии.

    > Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?

    А вот это уже не первое что кодерам в голову приходит. Есть еще способ - можно зарубать последовательности вида ../ в путях из хидеров и отказываться это декомпрессить: при легитимном использовании архивера таких вещей в хидере архива быть просто не должно и их наличие довольно надежный индикатор того что это попытка поиметь а не что-нибудь еще.

    > $ man realpath

    Так это вроде отдельная прога, толку с нее в архиваторе...

     
     
  • 5.99, Аноним (99), 14:03, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть прога (можно использовать в shell), а есть функция из glibc:
    > char *realpath(const char *restrict path, char *restrict resolved_path);

    Я потому и добавил тройку к ману.

     
     
  • 6.118, Аноним (-), 22:33, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Я потому и добавил тройку к ману.

    "Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа...."

     

  • 1.8, Аноним (8), 09:45, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.

    Вот вам и вирусы на венде и ондроит.

     
     
  • 2.18, Аноним (18), 10:40, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    дак автор рара виндузятнеГ, вои и накосячил со слешами...
     
     
  • 3.22, васёк (?), 11:42, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а под android не накосячил ...
    опять эксперт опеннета
     
     
  • 4.28, Аноним (25), 12:22, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И часто ты архивы распаковываешь на андроиде?
     
     
  • 5.33, Самый Лучший Гусь (?), 12:55, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый день запаковываю и распаковываю. 7z в Termux. Очень удобно, брат что характерно, жив.
     
     
  • 6.59, microsoft (?), 18:23, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтож ты ы них пакуешь? Игры по 200 гб наверно.
     
     
  • 7.74, Самый Лучший Гусь (?), 20:48, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Чтож ты ы них пакуешь? Игры по 200 гб наверно.

    А почему вы спрашиваете?

     
     
  • 8.92, Аноним (92), 11:12, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Может он тоже хочет попаковать, но не знает что А ты нам расскажешь и мы тоже н... текст свёрнут, показать
     
     
  • 9.119, Аноним (-), 22:34, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вам энтропии побольше или поменьше Если побольше, жмите dev urandom, если поме... текст свёрнут, показать
     
  • 5.121, Аноним (121), 03:56, 17/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    unrar-ом...
     
  • 4.84, Аноним (84), 00:40, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Под Android был феерический косяк при добавлении информации для восстановления при создании старого(4.00) типа .rar архивов...
     

  • 1.14, Аноним (14), 10:27, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    по-моему, наоборот - было фичей
     
  • 1.15, Аноним (57), 10:28, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ебилдов не завезли, до сих пор прошлогодняя версия. 9/10 файлов, скачиваемых из интернета, в этом формате. Что ж.
     
     
  • 2.27, RomanCh (ok), 12:22, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?
     
     
  • 3.31, Аноним (57), 12:51, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?

    Да так, различные опенсорсные и около того программы. Походите по тому же гитхабу, посмотрите.

     
     
  • 4.34, Самый Лучший Гусь (?), 12:59, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На гитхабе для шиндошс всё зазиповано. Для всех остальных тарболлы или точно так же зазиповано. Проприетарный RAR в обществе подлинных ценителей свободного и открытого ПО — моветон. Вот как плевок в душу, честное слово.
     
     
  • 5.35, Аноним (57), 13:00, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, но почему-то так делают.
     
     
  • 6.38, Самый Лучший Гусь (?), 13:15, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Значит ответственные органы недорабатывают. Думаю, это пройдёт.
     
     
  • 7.93, Аноним (92), 11:13, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ответственные органы этому потакают. Проснись, рар это и есть то самое «замещение»
     
  • 4.53, Аноним (-), 15:51, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Да так, различные опенсорсные и около того программы.

    Что-то у вас какой-то паршивый опенсорс.

    > Походите по тому же гитхабу, посмотрите.

    По репам от васяна с варезом чтоли, где даже лицензия не прописана и какая-то домашка русского студня вывалена? Остальные раром так то не пользуются особо. Особенно опенсорсники.

     
     
  • 5.56, Аноним (57), 16:39, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Обычный, иного не завезли. Стоит сказать спасибо, что вообще поставляют исходники -- у некоторых на гитхабе только блобы.
     
     
  • 6.68, Аноним (-), 19:13, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > у некоторых на гитхабе только блобы.

    Это не их заслуга а недоработка майкрософта который еще не снес явных варезников.

     
  • 4.88, RomanCh (ok), 07:10, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает. Из интернета чаще всего качается в формате *.deb, иногда *.tar.*z, ну или git clone. Отсюда и возник вопрос - что же это вы такое делаете - можете парочку примеров "опенсорсных и около того" программ?
     
     
  • 5.90, Аноним (57), 10:44, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack (вообще анриал), ни compress, и я видел многие миллиарды файлов. И чтобы такие файлы были где-то в интернете? Да ARJ встречается чаще! И LHA. При этом, я не стану сомневаться, что у кого-то они используются (если учиться по доисторическим гайдам, и не такое возможно). Но, в интернете?! А рар -- это достаточно классически для вендузятников, т.е. надо смотреть современный софт на жс или электроне, в "релизах" будут эти архивы.
     
     
  • 6.94, Аноним (92), 11:15, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Рар только в варезе бывает проснись уже, пожалуйста.
     
     
  • 7.96, Аноним (57), 11:34, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Рар только в варезе бывает проснись уже, пожалуйста.

    Не только в варезе (где вы такой варез находите?), но и в дистрибутивах всяких интересных программ. У меня даже есть предположение, почему. Всевозможные сканеры этот формат не распаковывали, следовательно, узнать, что в архиве, они не могли. Какая разница? Исходники есть? Есть! А сам формат прекрасный, встроенное парити это довольно полезно. Идея сжимать файлы подходящими типу файла алгоритмами тоже норм. Вот только ни по степени сжатия, ни по скорости, преимуществ перед 7z не имеет. У 7z даже получше с дедупликацией будет (при достаточном размере окна). Может, извлечение только местами пошустрее у rar (сжатие некоторых файлов в архиве будет слабое или отсутствующее).

     
  • 6.100, RomanCh (ok), 14:30, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и около того программ". Это же не сложно, правда? Хочу расширить кругозор.
     
     
  • 7.106, Аноним (57), 15:05, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и
    > около того программ". Это же не сложно, правда? Хочу расширить кругозор.

    Зачем? Есть сомнения, что так и есть, или что? Вон даже на опеннете рекламировали проекты с таким гитхабом, только за последний год несколько раз видел. Ну а то что проект опенсорс, не означает, что он лицензионно чист, поэтому претензий на тему вареза тоже не понимаю, для удобства пользователей могут и положить требуемые файлы рядом.

     
  • 2.61, microsoft (?), 18:26, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.
     
     
  • 3.62, Аноним (57), 18:32, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.

    Нет, выходит, ты глуповат, если экстраполируешь это таким образом.

     
     
  • 4.77, microsoft (?), 22:06, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нет
     

  • 1.20, Аноним (20), 11:09, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, на винде продвинутые школьники rar ставят, ладно.
    Остальным это зачем?
     
     
  • 2.40, YetAnotherOnanym (ok), 13:31, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В бухтерии rar любят. На сайтах госорганов часто доки в нём выкладывают.
     
     
  • 3.83, Аноним (18), 00:10, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в бухгалтерии по привычке из 90тых всем ставят winrar вот его и "любят"
     
  • 3.103, Аноним (101), 14:44, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В "балгахтерии" что админ поставит, то они и любят.
     

  • 1.21, Аноним (21), 11:41, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем unrar если есть unar, который те же rar распаковывает?
     
     
  • 2.23, ИмяХ (?), 12:05, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем urar если есть unrar, который те же rar распаковывает?
     
     
  • 3.36, Самый Лучший Гусь (?), 13:00, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    unar даже чёрта лысого распаковывает, а не только rar. Есть ещё bsdtar из libarchive, тоже достаточно универсальный.
     
  • 3.47, Аноним (21), 14:56, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для установки unrar надо приседать с включением репозиториев с проприетарью, тогда как unar в дефолтных почти везде
     
  • 2.65, Аноним (65), 18:49, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А какие версии распаковывает?
     
     
  • 3.115, Аноним (115), 22:28, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по коду от 1.3 до 5
     
  • 2.87, Аноним (87), 06:41, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    он gnustep за собой тащит
     

  • 1.29, zog (??), 12:27, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А WinRAR 6.12 почему не выпустили?
     
     
  • 2.32, Андрей (??), 12:52, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Новость _внимательно_ прочитайте
     
     
  • 3.37, zog (??), 13:10, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот ты мне "невнимательному" расскажи, почему rar и unrar обновились, а WinRAR нет. Там что какой-то другой код работы с директориями?
     
     
  • 4.55, ИмяХ (?), 16:16, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да
     
  • 4.95, Аноним (92), 11:19, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас для тебя будет открыта страшная тайна. WinRAR он только для Windows потому что он Win!!!! Для Линукс unrar это официальная поставка с сайта производителя и её обновили потому что сабжевая фича только для Линукса работает.
     

  • 1.42, Аноним (43), 13:50, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Никогда бы не подумал что это уязвимость. К тому же галочки есть во всяких xarchiver с разрешением на перезапись.
     
  • 1.44, Аноним (44), 14:11, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Это Рошал накосячил что-ли? Формат Rar косячный и не нужный формат.
     
     
  • 2.54, Аноним (54), 16:02, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как узнать опенсорсника? По частоте употребления словосочетания «не нужно».
     
     
  • 3.81, zog (??), 22:16, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс.
     
     
  • 4.108, Аноним (-), 17:34, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Защитник быдлокодера Рошала - два!
     
     
  • 5.112, zog (??), 20:54, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А ты сам какой кодер?
     
  • 3.107, Аноним (-), 17:33, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Защитник Рошала - раз!
     

  • 1.46, InuYasha (??), 14:49, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    *UT announcer*
    Congratulations! You are the winrar!
     
     
  • 2.80, Аноним (-), 22:13, 15/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зато какая винрарная уязвимость, прямо по классике :)
     

  • 1.75, Интел (?), 21:29, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В конце 90-х и начале 2000-х пользовал данный архиватор. С появлением 7z забыл про всё остальное как страшный сон.
     
  • 1.76, Ivan_83 (ok), 21:57, 15/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys"

    Только в одном случае: если распаковывать такое в ~/Desktop или соседних директориях.
    +-1 уровень вложенности и .ssh/authorized_keys лягут мимо цели.

     
     
  • 2.85, Аноним (85), 01:28, 16/05/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот или иной уровень вложенности. И то, что ты процитировал, начиналось со слова "например".
     

  • 1.124, Аноним (123), 04:46, 17/05/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот тебе бабка и юрьевь день. Как же так вышло, что легендарный русский программист на единственно верном языке и такую лажу написал?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру