1.2, Аноним (2), 10:36, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>Уязвимость в сервере печати на линуксе
Ребят, можете не переживать)
| |
|
2.3, Аноним (3), 10:39, 27/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
На Почте России уже отменяют договора на покупку лицензий.
| |
|
3.19, Аноним (19), 11:26, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Там не всё так просто. Она его сначала купила, а потом выкинула на мороз. Но бывший разраб почему-то стал работать исключительно в интересах apple. Например, запланировано выкидывание PPD и Kerberos. Плюс обратная совместимость ломается, старые принтеры скорее всего отвалятся.
| |
|
|
1.4, Аноним (4), 10:45, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Зачем сишники встраивают уязвимости в свои программы? Это такая спец олимпиада?
| |
|
2.12, Аноним (12), 10:56, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ты посмотри, кто там разработчик, и всё станет понятно. Это бекдор на бэкдоре и в основе максимально дефективная технология, которая была выбрана осознанно.
| |
|
3.18, Аноним (-), 11:25, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А почему тогда все этим пользуются?
Почему линукс сообщество это терпит?
Линус мог бы резко раскритиковать и показать какой-то палец, вдруг разработчики одумаются.
| |
|
4.39, Аноним (39), 12:09, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> А почему тогда все этим пользуются?
> Почему линукс сообщество это терпит?
потому что systemd-cupsd еще не вышел)
| |
|
|
2.20, Аноним (20), 11:29, 27/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ага, в данной ситуации, Хруст сильно бы помог? Скорее, бы даже затруднил обнаружение этой уязвимости своим синтаксисом.
| |
|
3.42, Аноним (-), 12:12, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Отличный пример
Например
cve.org/CVERecord?id=CVE-2019-13225
A NULL Pointer Dereference in match_at() in regexec.c in Oniguruma 6.9.2 allows attackers to potentially cause denial of service by providing a crafted regular expression. Oniguruma issues often affect Ruby, as well as common optional libraries for PHP and Rust.
Какие плохие растовики! Используют дырявое сишное овно!
Осуждаю и порицаю!
| |
|
|
1.5, Аноним (5), 10:46, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>Как сказал человек, непосредственно участвовавший в проекте CUPS:
>С общей точки зрения безопасности вся система Linux в ее нынешнем виде представляет собой просто бесконечную и безнадежную мешанину дыр в безопасности, ожидающих, чтобы ими воспользовались.
Переходим на OpenBSD, господа.
| |
|
|
3.41, Аноним (5), 12:12, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это костыли-подпорки. OpenBSD изначально разрабатывался с оглядкой на безопасность. Hardened Linux лишь пытается ослабить существующие дырени.
| |
3.49, Афроним (?), 12:26, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А вот, если на обычном профиле добавить флаг set и к CFLAGS="-fstack-protector-strong" Этого может быть достаточно или нужен обязательно закаленный профиль? (GCC пересобранный, как бы это само собой разумеющееся.)
| |
|
2.21, Аноним (20), 11:31, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>позволяющих удалённо атаковать ... и некоторые другие BSD-системы | |
|
3.26, Аноним (5), 11:41, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
1. Cups в OpenBSD по умолчанию отключен, в отличие от популярных дистрибутивов Linux.
2. Комментарий разработчика cusp (который написан выше) относится к Linux в целом, а не только конкретно к cups.
| |
|
|
5.36, Аноним (5), 11:54, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Чего проигнорировали 2 пункт? Я изначально про него имел в виду.
| |
|
|
3.28, Аноним (5), 11:42, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>С _общей_ точки зрения безопасности _вся_ система Linux
Чёрным по белому: здесь про Linux в целом.
| |
|
|
|
2.22, Аноним (20), 11:34, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Чем он тебе поможет от этой тонкой манипуляции параметрами конфигурации? Или швященный Rust - щит от всего?
| |
2.23, Аноним (23), 11:35, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Когда там выходит CUPS-RS?
Когда в стандартную библиотеку используемого языка добавят функцию ippValidateAttribute, которая будет автоматически вызываться в отсутствующем рантайме.
| |
2.25, Аноним (25), 11:38, 27/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Только фанаты раста из-за своего большого ума считают, что этот язык избавляет от любых уязвимостей на свете.
| |
|
1.17, Аноним (-), 11:19, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Так-так-так, посмотрим как патчи
- else
+ else if (*ipp == '_' || *ipp == '.' || *ipp == '-' || isalnum(*ipp))
{
- if ((attr = ippFindAttribute(supported, "printer-requested-job-attributes", IPP_TAG_KEYWORD)) != NULL)
+ if ((attr = ippFindAttribute(supported, "printer-requested-job-attributes", IPP_TAG_KEYWORD)) != NULL && ippValidateAttribute(attr))
Ого, атрибуты надо оказывается проверять!
C 92.5% C++ 4.1%, а не, не обязательно.
Мы же тут профессионалы.
| |
|
2.27, Аноним (25), 11:42, 27/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> C 92.5% C++ 4.1%, а не, не обязательно.
> Мы же тут профессионалы.
То ли дело раст, который
&& ippValidateAttribute(attr)
добавит автоматом во все поля.
| |
|
|
4.34, Аноним (31), 11:51, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Он будет отправлять тому кто забыл проверить атрибуты борова чтобы боров ему почикал кое что.
| |
|
5.38, Аноним (20), 11:58, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
В том, что со временем rustc начнёт отправлять куда-то что-то, я не сомневаюсь.
| |
|
|
3.40, Аноним (-), 12:10, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Нет конечно, нзачем добавлять во все поля дырявую поделку которая помирает от UTF-8
github.com/apple/cups/commit/d9f301dd149477803d806414bed14d0d75910eea
- if ((*ptr & 0xc0) != 0x80)
+ if ((ptr[1] & 0xc0) != 0x80 || (ptr[2] & 0xc0) != 0x80)
| |
3.48, Аноним (-), 12:25, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А причем тут раст?
Уверен что хороший программист проверял бы атрибуты на любом языке, хоть на паскале, хоть на джаве.
Но самоуверенные "самые лучшие программисты" почему-то на это забивают.
| |
|
2.29, Аноним (20), 11:42, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>Ого, атрибуты надо оказывается проверять!
Да, это не про безопасТную работу с памятью компутера, а про память программиста.
| |
|
1.33, Бутерброд (?), 11:51, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Полагаю, коль скоро в новости нет упоминания о MacOS, данные системы не подвержены обсуждаемой уязвимости?
| |
|
|
3.46, анон (?), 12:20, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
отнюдь. подвержены как и все остальные, использующие CUPS
| |
|
|
1.43, Аноним (43), 12:13, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И это только верхушка айсберга под названием "remote shell" через систему печати, который позволяет через жабаскрипт, загружаемый с сайта, гулять по локальным машинам.
| |
1.44, Аноним (44), 12:16, 27/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Кто-то пояснит каким образом левая строка
*FoomaticRIPCommandLine: "echo 1 > /tmp/I_AM_VULNERABLE"
будет выполнена на системе жертвы?
| |
|
|
3.51, Аноним (44), 12:29, 27/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Чем? Есть код, который запускает всё что ему пропишут в фуматик строку? По-моему это большая проблема чем неточный парсинг.
| |
|
|
|