- А ещё остались люди, кто серваки на винде держит , Шарп (ok), 11:05 , 10-Апр-24 (1) +17 [^]
А ещё остались люди, кто серваки на винде держит?
- Это будет использоваться не на серваках, совсем не на серваках Вернее, подозрева, Аноним (2), 11:12 , 10-Апр-24 (2) +4
- В mission critical сегменте куча винды , Анон666 (?), 11:12 , 10-Апр-24 (3) –3
- Прям настолько жёстком , Аноним (6), 11:24 , 10-Апр-24 (6)
- Вот только на винде бы mission critical и делать, да , Аноним (-), 23:34 , 10-Апр-24 (66) +3
- Пример Йорктауна так никого ничему и не научил , Аноним (-), 23:42 , 10-Апр-24 (67)
- Apache c PHP 5 под 98 виндой гоняю на ретропк, наполняю базу данных через Web-мо, Аноним (12), 11:53 , 10-Апр-24 (12) –4 [V]
- Еще осталось очень много людей, а среди них каких только нет, есть даже такие, к, Аноним (58), 19:42 , 10-Апр-24 (58)
- Печально, когда и если ещё и батнички живы Такая махровая халтура и так долго, Аноним (83), 22:23 , 15-Апр-24 (83)
- Правильный заголовок будет Уязвимость BatBadBut, затрагивающая стандартные библ, Аноним (4), 11:13 , 10-Апр-24 (4) +16 [^]
> Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программированияПравильный заголовок будет "Уязвимость BatBadBut, затрагивающая стандартные библиотеки различных языков программирования в Windows" Дело не в языках, а в супер надежной проприетарной системе (как нам завещал товарищ birdie)
- Как хорошо что в линуксе нет башскиптов, которые могут и рут подарить, и обфуцир, Аноним (-), 12:00 , 10-Апр-24 (14) –6 [V]
- При чем тут скрипты вообще ЗыжВот взял и раст скриптами обозвалДа так любой экзе, Анании.orig (?), 14:15 , 10-Апр-24 (36) +2
- И питонятины повсюду тоже нет , Аноним (43), 16:05 , 10-Апр-24 (43)
- В линуксе даже и обход антивируса gmail из коробки стоит ,бггг, AKTEON (?), 20:48 , 10-Апр-24 (61)
- После ввода пароля рута Только те, с правами которых запущен процесс А ты хотел, Аноним (72), 15:07 , 11-Апр-24 (72)
- Не понял, а что Rust ещё и в качестве интерпретатора используется , Аноним (6), 11:18 , 10-Апр-24 (5) –4 [V]
>В Rust 1.77.2 в стандартную библиотеку добавлена дополнительная проверка, возвращающая ошибку при наличии в аргументе запускаемого сценария спецсимволов, которое невозможно гарантированно безопасно экранировать.Не понял, а что Rust ещё и в качестве интерпретатора используется?
- Что, Fabric уже посчитали одной большой уязвимостью , Аноним (-), 11:28 , 10-Апр-24 (7)
Что, Fabric уже посчитали одной большой уязвимостью?
- Скрыто модератором, bOOster (ok), 11:42 , 10-Апр-24 (8) –1 [---]
Мдее, Раст и иже с ними оказались дырявыми совсем не в том месте где ожидалось... Год назад говорил об этом. И количество этих дыр будут РАСТи..
- Не, ну это не серьезно И вообще, какое отношение виндопроблемы имеют к этому с, Аноним (-), 11:43 , 10-Апр-24 (9) +3
> Проекты Python, Ruby, Go, Erlang и Haskell пока ограничились внесением в документацию предупреждения о проявлении уязвимости при отсутствии должного экранирования спецсимволов. Не, ну это не серьезно... И вообще, какое отношение виндопроблемы имеют к этому сайту? А уязвимость нужно переименовать в BatBadButt.
- Rust, node js, Python, Ruby, Go, Erlang и Haskell уже перестали быть открытыми , Аноним (17), 12:05 , 10-Апр-24 (17) +2
- Для опеннета эта новость скорее характерна , Аноним (82), 13:08 , 12-Апр-24 (82)
- Для хаскеля уже есть патч В списке еще забыли жабу Они оригинально решили пробл, Аноним (-), 11:48 , 10-Апр-24 (10)
Для хаскеля уже есть патч.В списке еще забыли жабу. Они оригинально решили проблему Java Won’t fix Appendix B: Status of the affected programming languages flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/
- Это же не баг, а фича , Аноним (11), 11:52 , 10-Апр-24 (11) +2
- Столько лет - и всё одно и то же я разраб, мне так удобно, программа поставляе, Аноним (25), 12:34 , 10-Апр-24 (25) +2
>Приложения, запускающие сценарии в формате bat и cmd на платформе Windows при помощи штатных функций запуска процессовСтолько лет - и всё одно и то же: "я разраб, мне так удобно, программа поставляется AS IS, не нравится - не используй". Это не уязвимости, это всё by design. Даже упоминания не стоит.
- Что бы могло сработатать, надо запускать экзешник, указав его имя без расширения, n00by (ok), 13:30 , 10-Апр-24 (28)
> The application doesn’t specify the file extension of the command, > or the file extension is .bat or .cmdЧто бы могло сработатать, надо запускать экзешник, указав его имя без расширения. Кто и зачем мог бы такое прописать в своём коде?
- Уже 12 часов назад вроде пофиксили в Rust 1 77 2 , Пряник (?), 13:49 , 10-Апр-24 (31)
Уже 12 часов назад вроде пофиксили в Rust 1.77.2.
- Скрыто модератором, Аноним (32), 13:50 , 10-Апр-24 (32) –1 [---]
Раст безопасный, говорили они Раст не имеет уязвимостей, говорили они
- В конце названия уязвимости еще одной буквы t не хватает, DiabloPC (ok), 14:00 , 10-Апр-24 (34)
В конце названия уязвимости еще одной буквы "t" не хватает
- То есть уязвимость как бы закрыта, но все равно остается возможность прострелить, Аноним (38), 14:53 , 10-Апр-24 (37) –2
>В Rust 1.77.2 в стандартную библиотеку добавлена дополнительная проверка, возвращающая ошибку при наличии в аргументе запускаемого сценария спецсимволов, которое невозможно гарантированно безопасно экранировать. Для разработчиков, самостоятельно реализующих логику экранирования предоставлен метод CommandExt::raw_arg, полностью отключающий экранирование на стороне библиотечных вызовов.То есть уязвимость как бы закрыта, но все равно остается возможность прострелить себе ногу. А те кто не экранировали ввод с raw_arg и с ним не будут. Вот такая она безопасность, в основном на словах.
- вот прикол то есть на венде Ядро передаёт СТРОКУ в процесс а не СПИСОК_аргументо, Xasd7 (?), 16:52 , 10-Апр-24 (47) +1
вот прикол!то есть на венде Ядро передаёт СТРОКУ в процесс а не СПИСОК_аргументов... и при этом -- каждая программа эту страку как хочет так и разбивает?!?! по своим правилам?! ВОТ СМЕХУТО!! АХАХАХА!! ща умру! то есть простая операция "убери первый аргумент и то что останется передай в другой следущий процесс" -- становится НЕ РЕАЛИЗУЕМОЙ по факту ВООБЩЕ! потому что возникает вопрос -- "погоди! а по каким правилам следущий процесс будет разбивать строку? по тем же самым что и мы сами тут у себя разбили?!" я просто валяюсь! это сделало мой день!! :-D :-D :-D
- Зачем чинить уязвимости проявляющиеся только на венде Да ещё если это уязвимост, Аноним (48), 17:04 , 10-Апр-24 (48)
Зачем чинить уязвимости проявляющиеся только на венде? Да ещё если это уязвимости самой венды.
- В чём проблема-то Всё описано в мануале Сколько раз при вызове system в NIX , 1 (??), 17:07 , 10-Апр-24 (49) –1
> При запуске bat- и cmd-сценариев на платформе Windows функция CreateProcess() неявно привлекает исполняемый файл cmd.exe, даже если приложение не указывает его при вызове.В чём проблема-то ? Всё описано в мануале. Сколько раз при вызове system в *NIX это проходили ? Никто это уязвимостью не называл. А писать CreateProcess( NULL,"test", ... вместо CreateProcess( NULL,"/my/path/test.exe", ... такое себе ...
- Господа, приведите пожалуйста пример как на С правильно обрабатывать аргументы к, Аноним (73), 17:11 , 11-Апр-24 (73) +1
Господа, приведите пожалуйста пример как на С правильно обрабатывать аргументы командной строки. Как дорвусь до компьютера напишу как это делаю я — сможете раскритиковать, но напишите как правильно это делать пожалуйста.
|