forum.opennet.ru - "Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива" (51)

"Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в KDE Ark, позволяющая перезаписать файлы при открытии архива"	+/–
Сообщение от opennews (??), 31-Июл-20, 13:51
В развиваемом проектом KDE менеджере архивов Ark выявлена уязвимость (CVE-2020-16116), позволяющая при открытии в приложении специально оформленного архива перезаписать файлы вне каталога, указанного для раскрытия архива. Проблема в том числе проявляется при раскрытии архивов в файловом менеджере Dolphin (пункт Extract в контекстном меню), который использует функциональность Ark для работы с архивами. Уязвимость напоминает давно известную проблему Zip Slip... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53467
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну, справедливости ради, на любом языке можно написать уязвимый код , Аноним (1), 13:51 , 31-Июл-20, (1) +1

На брейнфаке конечно можно, но никто не сумеет ту уязвимость найти Да и искать , пох. (?), 14:25 , 31-Июл-20, (4) –1

Ну правильно На расте никто уязвимости и не ищеет, потому что мало кто на нём п, Аноним (6), 14:51 , 31-Июл-20, (6)

Нет кода - нет уязвимостей , пох. (?), 20:05 , 31-Июл-20, (37) +1
А как же https github com RustSec cargo-audit и вся группа RustSec , Gentoofan (?), 23:20 , 31-Июл-20, (48)

Они сделали опечатку в слове Cargo-Cult Не знаю, считается это за уязвимость ил, Аноним (-), 23:45 , 31-Июл-20, (50)

С приколами типа примерно это как раз и получается, так, по жизни Этот ля, Аноним (-), 20:59 , 31-Июл-20, (42)

просто все меньше народа сталкивается с низкоуровневым типом работы короче гово, анонимуслинус (?), 16:24 , 01-Авг-20, (60)

никогда не было и вот опять проблема с архивами и перезаписью файлов, Аноним (3), 14:18 , 31-Июл-20, (3) +7

Ну тк KDE, iPony129412 (?), 14:40 , 31-Июл-20, (5) –21

Ты ещё не самовыпилился , ann (??), 17:26 , 31-Июл-20, (27)
Да такое возмозно в любом архиваторе упустить из виду И независимо от ЯП также , Аноним (28), 17:39 , 31-Июл-20, (28) +1

Да и не только в архиваторе А всякая скриптота например еще прикольно реагирует, Аноним (-), 21:08 , 31-Июл-20, (44)

Там вроде только гнутые тулзы умеют разделять строки 0, и не так давно научилис, Аноним (46), 21:52 , 31-Июл-20, (46)

Ну как, сишный софт сам по себе не имеет фундаментальных причин давиться при раб, Аноним (-), 23:48 , 31-Июл-20, (51)

А как KDE связан с этим багом Это крайне баянный баг, всех времен и народов На, Аноним (-), 21:04 , 31-Июл-20, (43)

Там есть очевидный баг с перезаписью файлов извлекаемых из архива при возникнов, Аноним (46), 16:04 , 31-Июл-20, (15)

Ничего удивительно, они поди до сих пор баг с исчерпанием места на диске не испр, Аноним (7), 15:09 , 31-Июл-20, (7) –2

Так вы так любой архиватор положите, к тому же Ark исопользует libarchive, если , Аноним (6), 15:20 , 31-Июл-20, (8) +1

Серьёзно Это же дуршлаг давно известный , Аноним (10), 15:35 , 31-Июл-20, (10)

Покажите мне архиватор без дыр, я подожду , Аноним (6), 16:31 , 31-Июл-20, (18) –5

https www cvedetails com vulnerability-list vendor_id-72 product_id-1394 GNU-T, Аноним (46), 16:53 , 31-Июл-20, (20) +1
Ты покажи лучше архиватор, в котором хотя бы половина того количества дыр, что н, Аноним (10), 12:16 , 01-Авг-20, (59)

- Программирование сегодня 8212 это гонка разработчиков программ, стремящихся, Аноним (9), 15:23 , 31-Июл-20, (9) +3

Для разнообразия сегодня унас плюсишная дырень , Аноним (11), 15:37 , 31-Июл-20, (11) –6

никто не сказал, что дырень именно в плюсах, а в алгоритме чтения путей посмотри, заминированный тапок (ok), 15:44 , 31-Июл-20, (12) +1
В данном случае, Rust бы не спас Это не про безопасную работу с памятью , Аноним (28), 17:41 , 31-Июл-20, (29) +1

для кедарастов важнее всего0 блевотный внешний вид, традиционно разрабатываемый, mos87 (ok), 15:49 , 31-Июл-20, (13) –17

чувственная и волнующая иповедь монолог отбитого хейтера-тролляаминь, заминированный тапок (ok), 15:54 , 31-Июл-20, (14) +6
Для линукса не существует нормальных гуёв Жрём что дают , Аноним (17), 16:20 , 31-Июл-20, (17) –6

Так валите на мак или венду В линуксе всё настраивается хотя-бы и тем дофига, а, Аноним (6), 16:32 , 31-Июл-20, (19) +3

Ниче ты не можеш все тоже самое и в лялексах, microsoft (?), 17:04 , 31-Июл-20, (21) –6
Настраивай не настраивай ничего не работает Место такое, Аноним (23), 17:10 , 31-Июл-20, (23) –2

У всех работает у одного тебя бедного не работает Голова такая , ann (??), 17:22 , 31-Июл-20, (24) +1

Еще два терпениума этому господину или госпоже , Аноним (31), 18:30 , 31-Июл-20, (31)

Ты его там разрабатывай, смазывай , Led (ok), 00:12 , 01-Авг-20, (52) +2

Так и настраиваю А у вас стадия отрицания всё никак не пройдет , Аноним (-), 20:10 , 31-Июл-20, (38) –1
Что и делаем А в ляликс и прочие юниксы смотрим только через putty в ssh , Аноним (40), 20:38 , 31-Июл-20, (40) –2

Блевотный вид это венда, гамбургеры, и гномовский CSD Или как там это извращени, ann (??), 17:24 , 31-Июл-20, (26) +3

Оо этот давно знакомый Арк , Аноним (16), 16:16 , 31-Июл-20, (16) –1
Это фича, Аноним (23), 17:06 , 31-Июл-20, (22)
Все новое это хорошо забытое старое, Укуренный (?), 20:37 , 31-Июл-20, (39)
Та же ошибка что и в winrar Даже ошибку скопировали , Аноним (45), 21:16 , 31-Июл-20, (45) +1

Кедокуты, сэр , Аноним (55), 04:40 , 01-Авг-20, (55) +2

Зачем распаковку архива называть открытием , Аноним (47), 22:01 , 31-Июл-20, (47)

Так открытие это не распаковка Это же просто листинг и вывод его в гуй , Анонимленьлогиниться (?), 11:10 , 01-Авг-20, (58) +1

кде, кутя а что ещё вы ожидали от них , Аноним (55), 23:38 , 31-Июл-20, (49) –3
Типичный патч, которые всякие идиоты, котом лишь бы что-то закоммитить но не раз, Аноним (56), 08:02 , 01-Авг-20, (56) +1
В KDE neon еще вчера патч прилетел, Анонимище (?), 10:34 , 01-Авг-20, (57)
И уязвимость с файлами directoryЧто-то много в кедах подобных дыр Наверное, по, Аноним (61), 16:18 , 02-Авг-20, (61)
Самое интересное, в CVE не указана версия с которой проявляется эта уязвимость и, Ilya Indigo (ok), 19:39 , 02-Авг-20, (62)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (1), 31-Июл-20, 13:51

Ну, справедливости ради, на любом языке можно написать уязвимый код.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –1 +/–

Сообщение от пох. (?), 31-Июл-20, 14:25

> Ну, справедливости ради, на любом языке можно написать уязвимый код.
На брейнфаке конечно можно, но никто не сумеет ту уязвимость найти. Да и искать не станет ;-)

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (6), 31-Июл-20, 14:51

Ну правильно. На расте никто уязвимости и не ищеет, потому что мало кто на нём пишет.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от пох. (?), 31-Июл-20, 20:05

Нет кода - нет уязвимостей!

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Gentoofan (?), 31-Июл-20, 23:20

А как же https://github.com/RustSec/cargo-audit и вся группа RustSec?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

50. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (-), 31-Июл-20, 23:45

Они сделали опечатку в слове Cargo-Cult. Не знаю, считается это за уязвимость или нет.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (-), 31-Июл-20, 20:59

> Ну, справедливости ради, на любом языке можно написать уязвимый код.
С приколами типа "../" примерно это как раз и получается, так, по жизни. Этот ляп делают на самых разных ЯП, это вообще операционка рюхает так что яп там вторичен :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

60. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от анонимуслинус (?), 01-Авг-20, 16:24

просто все меньше народа сталкивается с низкоуровневым типом работы. короче говоря в терминале сидят все реже. в cd такая команда тоже легко работает. вот только это не уязвимость. ну а арк имеет возможность записи в каталог, конечно можно посчитать за уязвимость. у меня другой вопрос. кто дал скриптам возможность выполнения? насколько помню изначально ни один скрипт или программа не имеет прав выполнения. кто успел превратить линя в винду?))) даже с записью скрипта в автостарт ничего не должно работать.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +7 +/–

Сообщение от Аноним (3), 31-Июл-20, 14:18

никогда не было и вот опять проблема с архивами и перезаписью файлов

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –21 +/–

Сообщение от iPony129412 (?), 31-Июл-20, 14:40

Ну тк KDE

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от ann (??), 31-Июл-20, 17:26

Ты ещё не самовыпилился?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (28), 31-Июл-20, 17:39

Да такое возмозно в любом архиваторе упустить из виду. И независимо от ЯП также.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

44. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (-), 31-Июл-20, 21:08

Да и не только в архиваторе. А всякая скриптота например еще прикольно реагирует на 0x0a в именах файлов - редкий скриптер помнит что в имени допустимо ВСЕ кроме null (0x0) и "/" :)

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (46), 31-Июл-20, 21:52

Там вроде только гнутые тулзы умеют разделять строки \0, и не так давно научились всего лет 15 назад. Все остальные будут работать скорее всего с ошибками (там вроде можно наворотить каких-то костылей с IFS в том же баше, но мало кто это делает и страдает читабельность). Не только скриптота, вообще многий софт имеет эту проблему.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (-), 31-Июл-20, 23:48

Ну как, сишный софт сам по себе не имеет фундаментальных причин давиться при работе с файлами с черти чем в именах: в строках специальное значение имеет только 0x0. А / имеет специальное значение вообще уже дальше, для кернела. Поэтому как максимум может ну там отображение переколбасить, или чего еще, но сискол все же получит имя файла нормально и это будет прожевано.
Исключения разве что какие-то умники читающие списки файлов из текстокиков, чтоли, но эти заведомо нарываются и им грех жаловаться.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (-), 31-Июл-20, 21:04

> Ну тк KDE
А как KDE связан с этим багом? Это крайне баянный баг, всех времен и народов. На него например вебсерваки отродясь наступали. И до сих пор попадается какой-нибудь клоун иногда у которого http://my.domain/proper/path/../../../../../../etc/passwd канает :)

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

15. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (46), 31-Июл-20, 16:04

Там есть очевидный баг с перезаписью файлов извлекаемых из архива: при возникновении конфликтов показывает некорректные данные о файле, уже имеющемся на диске. Его не исправляют больше 10 лет. С этим можно даже научиться жить: не извлекать файлы там, где они уже есть на диске. Ну или не сравнивать их, просто зачем тогда эти перегруженные диалоги вообще нужны там.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –2 +/–

Сообщение от Аноним (7), 31-Июл-20, 15:09

Ничего удивительно, они поди до сих пор баг с исчерпанием места на диске не исправили. Достаточно было создать архив с циклической структурой на симлинках.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (6), 31-Июл-20, 15:20

Так вы так любой архиватор положите, к тому же Ark исопользует libarchive, если не ошибаюсь. Так проблема ли в самом Ark?

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (10), 31-Июл-20, 15:35

> Ark исопользует libarchive
Серьёзно? Это же дуршлаг давно известный.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –5 +/–

Сообщение от Аноним (6), 31-Июл-20, 16:31

Покажите мне архиватор без дыр, я подожду.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (46), 31-Июл-20, 16:53

https://www.cvedetails.com/vulnerability-list/vendor_id-72/p...
Единственный архиватор, оказавшийся неподверженным подобным детским ошибкам. Несколько лет назад сравнивал на предмет восприимчивости к таким уязвимостям, я прямо проникся уважением к его разработчикам в итоге.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (10), 01-Авг-20, 12:16

> Покажите мне архиватор без дыр, я подожду.
Ты покажи лучше архиватор, в котором хотя бы половина того количества дыр, что находили в libarchive, есть.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

9. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +3 +/–

Сообщение от Аноним (9), 31-Июл-20, 15:23

- Программирование сегодня — это гонка разработчиков программ, стремящихся писать программы больше и с лучшей идиотоустойчивостью, и вселенной, которая пытается создавать больших и лучших идиотов. Пока вселенная побеждает. (с) Рик Кук

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

11. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –6 +/–

Сообщение от Аноним (11), 31-Июл-20, 15:37

Для разнообразия сегодня унас плюсишная дырень?

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от заминированный тапок (ok), 31-Июл-20, 15:44

никто не сказал, что дырень именно в плюсах, а в алгоритме чтения путей.
посмотри хотя бы на те три строчки кода в патче.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (28), 31-Июл-20, 17:41

В данном случае, Rust бы не спас. Это не про безопасную работу с памятью.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

13. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –17 +/–

Сообщение от mos87 (ok), 31-Июл-20, 15:49

для кедарастов важнее всего
0) блевотный внешний вид, традиционно разрабатываемый особым родом спецов у которых генетическая неспособность сделать симпатишно передаётся из поколения в поколение
1) рюшечки
2) фишечки
3) переписывание с одного фреймворка на другой не реже раза в квартал
а сабж это какая-то фигня, #NOTABUG

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +6 +/–

Сообщение от заминированный тапок (ok), 31-Июл-20, 15:54

> для кедарастов важнее всего
> 0) блевотный внешний вид, традиционно разрабатываемый особым родом спецов у которых генетическая
> неспособность сделать симпатишно передаётся из поколения в поколение
> 1) рюшечки
> 2) фишечки
> 3) переписывание с одного фреймворка на другой не реже раза в квартал
> а сабж это какая-то фигня, #NOTABUG
чувственная и волнующая иповедь/монолог отбитого хейтера-тролля
аминь

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –6 +/–

Сообщение от Аноним (17), 31-Июл-20, 16:20

Для линукса не существует нормальных гуёв. Жрём что дают.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

19. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +3 +/–

Сообщение от Аноним (6), 31-Июл-20, 16:32

Так валите на мак или венду. В линуксе всё настраивается хотя-бы и тем дофига, а в маргинальных системах даже тему сменить нельзя, не говоря уж о тонкой настройке или вообще смены WM\DE.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –6 +/–

Сообщение от microsoft (?), 31-Июл-20, 17:04

Ниче ты не можеш все тоже самое и в лялексах

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –2 +/–

Сообщение от Аноним (23), 31-Июл-20, 17:10

Настраивай не настраивай ничего не работает. Место такое

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

24. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от ann (??), 31-Июл-20, 17:22

У всех работает у одного тебя бедного не работает. Голова такая.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (31), 31-Июл-20, 18:30

Еще два терпениума этому господину (или госпоже)

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +2 +/–

Сообщение от Led (ok), 01-Авг-20, 00:12

>Место такое
Ты его там разрабатывай, смазывай...

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

38. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –1 +/–

Сообщение от Аноним (-), 31-Июл-20, 20:10

Так и настраиваю. А у вас стадия отрицания всё никак не пройдет.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

40. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –2 +/–

Сообщение от Аноним (40), 31-Июл-20, 20:38

Что и делаем. А в ляликс и прочие юниксы смотрим только через putty в ssh.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

26. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +3 +/–

Сообщение от ann (??), 31-Июл-20, 17:24

Блевотный вид это венда, гамбургеры, и гномовский CSD. Или как там это извращение которое с меню сделали.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

16. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –1 +/–

Сообщение от Аноним (16), 31-Июл-20, 16:16

Оо этот давно знакомый Арк.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (23), 31-Июл-20, 17:06

Это фича

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Укуренный (?), 31-Июл-20, 20:37

Все новое это хорошо забытое старое

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (45), 31-Июл-20, 21:16

Та же ошибка что и в winrar. Даже ошибку скопировали.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +2 +/–

Сообщение от Аноним (55), 01-Авг-20, 04:40

Кедокуты, сэр.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (47), 31-Июл-20, 22:01

> позволяющая при открытии
Зачем распаковку архива называть "открытием"?

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Анонимленьлогиниться (?), 01-Авг-20, 11:10

Так открытие это не распаковка?? Это же просто листинг и вывод его в гуй.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." –3 +/–

Сообщение от Аноним (55), 31-Июл-20, 23:38

кде, кутя... а что ещё вы ожидали от них?!

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +1 +/–

Сообщение от Аноним (56), 01-Авг-20, 08:02

Типичный патч, которые всякие идиоты, котом лишь бы что-то закоммитить но не разобраться в проблеме.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Анонимище (?), 01-Авг-20, 10:34

В KDE neon еще вчера патч прилетел

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Аноним (61), 02-Авг-20, 16:18

> Уязвимость напоминает давно известную проблему Zip Slip
И уязвимость с файлами .directory
Что-то много в кедах подобных дыр. Наверное, потому что, чем сложнее проект, тем больше ошибок.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..." +/–

Сообщение от Ilya Indigo (ok), 02-Авг-20, 19:39

Самое интересное, в CVE не указана версия с которой проявляется эта уязвимость и можно подумать, что ей подвержены ВСЕ версии ark.
По вот версия 15.04.3 которую я использую в KDE4 с такой же версией dolphin проблеме НЕ подвержена!
Притом в том месте кода, в которую патч добавляет проверку в 15.04.3 этой проверки тоже нет, но она там и не нужна.
Видимо, в 20-ке что-то намутили и откуда-то её убрали.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
Сообщение от Аноним (1), 31-Июл-20, 13:51
Ну, справедливости ради, на любом языке можно написать уязвимый код.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–1 +/–
	Сообщение от пох. (?), 31-Июл-20, 14:25
	> Ну, справедливости ради, на любом языке можно написать уязвимый код. На брейнфаке конечно можно, но никто не сумеет ту уязвимость найти. Да и искать не станет ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (6), 31-Июл-20, 14:51
	Ну правильно. На расте никто уязвимости и не ищеет, потому что мало кто на нём пишет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от пох. (?), 31-Июл-20, 20:05
	Нет кода - нет уязвимостей!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Gentoofan (?), 31-Июл-20, 23:20
	А как же https://github.com/RustSec/cargo-audit и вся группа RustSec?
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	50. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (-), 31-Июл-20, 23:45
	Они сделали опечатку в слове Cargo-Cult. Не знаю, считается это за уязвимость или нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (-), 31-Июл-20, 20:59
	> Ну, справедливости ради, на любом языке можно написать уязвимый код. С приколами типа "../" примерно это как раз и получается, так, по жизни. Этот ляп делают на самых разных ЯП, это вообще операционка рюхает так что яп там вторичен :)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	60. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от анонимуслинус (?), 01-Авг-20, 16:24
	просто все меньше народа сталкивается с низкоуровневым типом работы. короче говоря в терминале сидят все реже. в cd такая команда тоже легко работает. вот только это не уязвимость. ну а арк имеет возможность записи в каталог, конечно можно посчитать за уязвимость. у меня другой вопрос. кто дал скриптам возможность выполнения? насколько помню изначально ни один скрипт или программа не имеет прав выполнения. кто успел превратить линя в винду?))) даже с записью скрипта в автостарт ничего не должно работать.
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+7 +/–
Сообщение от Аноним (3), 31-Июл-20, 14:18
никогда не было и вот опять проблема с архивами и перезаписью файлов
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–21 +/–
	Сообщение от iPony129412 (?), 31-Июл-20, 14:40
	Ну тк KDE
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от ann (??), 31-Июл-20, 17:26
	Ты ещё не самовыпилился?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от Аноним (28), 31-Июл-20, 17:39
	Да такое возмозно в любом архиваторе упустить из виду. И независимо от ЯП также.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	44. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (-), 31-Июл-20, 21:08
	Да и не только в архиваторе. А всякая скриптота например еще прикольно реагирует на 0x0a в именах файлов - редкий скриптер помнит что в имени допустимо ВСЕ кроме null (0x0) и "/" :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (46), 31-Июл-20, 21:52
	Там вроде только гнутые тулзы умеют разделять строки \0, и не так давно научились всего лет 15 назад. Все остальные будут работать скорее всего с ошибками (там вроде можно наворотить каких-то костылей с IFS в том же баше, но мало кто это делает и страдает читабельность). Не только скриптота, вообще многий софт имеет эту проблему.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (-), 31-Июл-20, 23:48
	Ну как, сишный софт сам по себе не имеет фундаментальных причин давиться при работе с файлами с черти чем в именах: в строках специальное значение имеет только 0x0. А / имеет специальное значение вообще уже дальше, для кернела. Поэтому как максимум может ну там отображение переколбасить, или чего еще, но сискол все же получит имя файла нормально и это будет прожевано. Исключения разве что какие-то умники читающие списки файлов из текстокиков, чтоли, но эти заведомо нарываются и им грех жаловаться.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (-), 31-Июл-20, 21:04
	> Ну тк KDE А как KDE связан с этим багом? Это крайне баянный баг, всех времен и народов. На него например вебсерваки отродясь наступали. И до сих пор попадается какой-нибудь клоун иногда у которого http://my.domain/proper/path/../../../../../../etc/passwd канает :)
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	15. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (46), 31-Июл-20, 16:04
	Там есть очевидный баг с перезаписью файлов извлекаемых из архива: при возникновении конфликтов показывает некорректные данные о файле, уже имеющемся на диске. Его не исправляют больше 10 лет. С этим можно даже научиться жить: не извлекать файлы там, где они уже есть на диске. Ну или не сравнивать их, просто зачем тогда эти перегруженные диалоги вообще нужны там.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

7. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–2 +/–
Сообщение от Аноним (7), 31-Июл-20, 15:09
Ничего удивительно, они поди до сих пор баг с исчерпанием места на диске не исправили. Достаточно было создать архив с циклической структурой на симлинках.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от Аноним (6), 31-Июл-20, 15:20
	Так вы так любой архиватор положите, к тому же Ark исопользует libarchive, если не ошибаюсь. Так проблема ли в самом Ark?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (10), 31-Июл-20, 15:35
	> Ark исопользует libarchive Серьёзно? Это же дуршлаг давно известный.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–5 +/–
	Сообщение от Аноним (6), 31-Июл-20, 16:31
	Покажите мне архиватор без дыр, я подожду.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от Аноним (46), 31-Июл-20, 16:53
	https://www.cvedetails.com/vulnerability-list/vendor_id-72/p... Единственный архиватор, оказавшийся неподверженным подобным детским ошибкам. Несколько лет назад сравнивал на предмет восприимчивости к таким уязвимостям, я прямо проникся уважением к его разработчикам в итоге.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+/–
	Сообщение от Аноним (10), 01-Авг-20, 12:16
	> Покажите мне архиватор без дыр, я подожду. Ты покажи лучше архиватор, в котором хотя бы половина того количества дыр, что находили в libarchive, есть.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	9. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+3 +/–
	Сообщение от Аноним (9), 31-Июл-20, 15:23
	- Программирование сегодня — это гонка разработчиков программ, стремящихся писать программы больше и с лучшей идиотоустойчивостью, и вселенной, которая пытается создавать больших и лучших идиотов. Пока вселенная побеждает. (с) Рик Кук
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

11. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–6 +/–
Сообщение от Аноним (11), 31-Июл-20, 15:37
Для разнообразия сегодня унас плюсишная дырень?
Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от заминированный тапок (ok), 31-Июл-20, 15:44
	никто не сказал, что дырень именно в плюсах, а в алгоритме чтения путей. посмотри хотя бы на те три строчки кода в патче.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+1 +/–
	Сообщение от Аноним (28), 31-Июл-20, 17:41
	В данном случае, Rust бы не спас. Это не про безопасную работу с памятью.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору

13. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–17 +/–
Сообщение от mos87 (ok), 31-Июл-20, 15:49
для кедарастов важнее всего 0) блевотный внешний вид, традиционно разрабатываемый особым родом спецов у которых генетическая неспособность сделать симпатишно передаётся из поколения в поколение 1) рюшечки 2) фишечки 3) переписывание с одного фреймворка на другой не реже раза в квартал а сабж это какая-то фигня, #NOTABUG
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	+6 +/–
	Сообщение от заминированный тапок (ok), 31-Июл-20, 15:54
	> для кедарастов важнее всего > 0) блевотный внешний вид, традиционно разрабатываемый особым родом спецов у которых генетическая > неспособность сделать симпатишно передаётся из поколения в поколение > 1) рюшечки > 2) фишечки > 3) переписывание с одного фреймворка на другой не реже раза в квартал > а сабж это какая-то фигня, #NOTABUG чувственная и волнующая иповедь/монолог отбитого хейтера-тролля аминь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в KDE Ark, позволяющая перезаписать файлы при отк..."	–6 +/–
	Сообщение от Аноним (17), 31-Июл-20, 16:20
	Для линукса не существует нормальных гуёв. Жрём что дают.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору