forum.opennet.ru

"Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

"Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы"	+/–
Сообщение от opennews (??), 28-Мрт-24, 15:11
В утилите wall, поставляемой в пакете util-linux и предназначенной для отправки сообщений в терминалы, выявлена уязвимость (CVE-2024-28085), позволяющая осуществить атаку на терминалы других пользователей через манипуляцию с escape-последовательностями. Проблема вызвана тем, что утилита wall блокирует использование escape-последовательности во входном потоке, но не выполняет эту операцию для аргументов в командной строке, что позволяет атакующему... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60869
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость, позволяющая подставить escape-последовательности в чужие терминалы, opennews, 28-Мрт-24, 15:11 [смотреть все]

И эти в юникод не умеют, сколько можно то Срочно добавить icu в зависимости , Аноним, 28-Мрт-24, 15:19 (2) //
- Речь про Esc-последовательности, а не кодировки , Аноним, 28-Мрт-24, 15:51 (8) //
  - Речь про локали, локали это кодировки И проблема именно в широких символах, чит, Аноним, 28-Мрт-24, 15:55 (11) //
    - What the hell are you talking about , Kenneth, 28-Мрт-24, 18:12 (21)
      - Ну, ты вот читал, о чём новость написана Очевидно, что нет , Аноним, 28-Мрт-24, 18:14 (22)
    - Ога У собак есть шерсть В шерсти водятся блохи Блохи это C анек пр, Аноним, 28-Мрт-24, 21:45 (30)
написали бы прямым текстом - в убунте, Аноним, 28-Мрт-24, 15:27 (3) //
- написали бы прямым текстом - в убунте небезопасно исправил, Аноним, 29-Мрт-24, 06:11 (39)
- и еще несколько мусорных программ подлежит удалению сразу после инсталляции си, Аноним, 29-Мрт-24, 09:01 (42)
Почему в Ubuntu утилита wall установлена с флагом setgid и имеет доступ к чужим , Аноним, 28-Мрт-24, 15:29 (4) //
- Потому что переходи на генту, если тебя не устраивают, когда тебя кормят с лопат, Аноним, 28-Мрт-24, 15:38 (5)
- Потому, что в Ubuntu - AppArmor , Аноним, 28-Мрт-24, 15:49 (7) //
  - Который защищает только usr lib colord, avahi-daemon, i2pd и nscd https www o, Аноним, 29-Мрт-24, 08:37 (40)
- Придумай wall без доступа к чужим терминалам, раз такой умный , Аноним, 28-Мрт-24, 18:31 (23) //
  - Резонно А как это сделали в Fedora RHEL , Аноним, 28-Мрт-24, 20:44 (27)
Это же просто wall-смайлик из древнего квипа А вообще ошибка логическая - вызвал, Аноним, 28-Мрт-24, 16:12 (12)
А какого хрена чужие процессы вообще видны По-хорошему у каждого пользователя и, Аноним, 28-Мрт-24, 16:49 (15) //
- В ведроиде начиная с 8 версии proc закрыт на чтение правилами selinux Но прави, Хру, 28-Мрт-24, 17:44 (20)
Не по этому ли 20 04 А , так пришлось метофицировать drm видео драйвера на кан, NV, 28-Мрт-24, 17:02 (17)
Зачем этот валл ваще Выкинуть из всех дистров , Аноним, 28-Мрт-24, 17:37 (18)
Хорошую мину с обработкой эскейп-последовательностей диды подложили OpenBSD тол, Аноним, 28-Мрт-24, 18:37 (24) //
- Регулярно пользую FreeBSD watch Хорошо работает, проблем не замечено , Аноним, 28-Мрт-24, 20:01 (25)
- Не ошибается только тот, кто ни чего не делает Вся современная ИТ инфраструктура, Аноним, 28-Мрт-24, 21:23 (28) //
  - 8230 на коленке За что до сих пор расплачиваемся , Аноним, 29-Мрт-24, 13:59 (46) //
    - Ты прав Начинали с нуля VS Code со встроенным Copilot еще не было , Аноним, 30-Мрт-24, 12:28 (48)
Ставлю из util-linux только нужное уже миллион лет Wall вообще не нужен , Аноним, 28-Мрт-24, 20:20 (26)
Это все происки Извечного Врага https github com util-linux util-linux blob ma, Аноним, 28-Мрт-24, 22:49 (33)
Нафига вообще посылать какие-то сообщения в чужие терминалы, вы в 20 веке живёте, Аноним, 29-Мрт-24, 00:12 (34) //
- поттеринг сделал вам божественный dbus с xml-ем, пользуйтесь, луддиты, вертикаль, Аноним, 29-Мрт-24, 00:57 (35)
- Терминал это бесмертная и божественная технология , Аноним, 29-Мрт-24, 06:09 (37) //
  - век персональных компьютеров, а ОС почему-то многопользовательская эт типа пол, Sw00p aka Jerom, 29-Мрт-24, 09:13 (43) //
    - В современных девайсах номер один это товарищ герр сэр 36948 29926 37324 , Аноним, 29-Мрт-24, 11:29 (45)
Осталось только автозапуск через autorun inf сделать, чтобы совсем удобно было , Ivan_83, 29-Мрт-24, 08:59 (41) //
- копилот прикручивай скорее, как так в век ИИ может что-нибудь быть не найденным , Sw00p aka Jerom, 29-Мрт-24, 09:16 (44)
Так это в убунте, но нам-то зачем , user90, 29-Мрт-24, 19:10 (47)
забыли применить чистку escape-последовательностейАха забыли , scriptkiddis, 30-Мрт-24, 20:37 (49)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру