forum.opennet.ru - "Уязвимость в tmux, эксплуатируемая через escape-последовательность" (87)

"Уязвимость в tmux, эксплуатируемая через escape-последовательность"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в tmux, эксплуатируемая через escape-последовательность"	+1 +/–
Сообщение от opennews (ok), 06-Ноя-20, 13:01
В консольном оконном менеджере tmux ("terminal multiplexer"), разрабатываемом проектом OpenBSD для замены программы GNU Screen, выявлена уязвимость (CVE-2020-27347), приводящая к переполнению буфера при вводе специально оформленной escape-последовательности. Уязвимость уже устранена или не проявляется (уязвимы только версии, начиная с tmux 2.9) в OpenBSD, Debian, SUSE, RHEL, Fedora, Ubuntu, FreeBSD... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54038
Ответить \| Правка \| Cообщить модератору

Оглавление

Обожаю сишечку , Fracta1L (ok), 13:01 , 06-Ноя-20, (1) –32

Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша , наноним (?), 13:06 , 06-Ноя-20, (3) +17

Есть - не открывать комментарии на данном сайте, а заодно на паре других Потому, Аноним (11), 13:29 , 06-Ноя-20, (11) +14

Э, батенька, полегче, если вы не будете читать наши кремлекомментарии, то нас вс, Аноним (54), 19:26 , 06-Ноя-20, (54) +1

Личный кабинет , отслеживание обсуждений и участников , фильтр участников h, Аноним84701 (ok), 14:15 , 06-Ноя-20, (24) +10

А анонимусу как этим воспользоваться Опять дискриминация , Аноним (35), 15:34 , 06-Ноя-20, (35)

Например, предложить свою реализацию фильтров, полностью на стороне пользователя, Аноним84701 (ok), 16:13 , 06-Ноя-20, (40) +3

Ты позор анонимусов , псевдонимус (?), 16:16 , 06-Ноя-20, (42) –3

Создать правило для блокировщика рекламы , Аноним (33), 15:21 , 06-Ноя-20, (33) +1

В нормальных OS и на нормальных процах переполнение буфера не эксплуатируется , A (?), 15:47 , 06-Ноя-20, (36) –2

171 джентльмены верят друг другу на слово 187 , develop7 (ok), 16:18 , 06-Ноя-20, (43) +4

Дело в математике, строгий контроль за W X и запрет изменений режимов памяти , Аноним (86), 18:00 , 07-Ноя-20, (86) –1
Ты не верь, ты проверь paxtest blackhat, Аноним (86), 18:01 , 07-Ноя-20, (87) –2

Для тебя уже заготовлена персональная сишная дырень в аду , Корец (?), 16:14 , 06-Ноя-20, (41) +2
Это не имеет значения, похожие уязвимости можно и в javascript устроить Там кон, Аноним (75), 01:00 , 07-Ноя-20, (75) +1

Классификация уязвимостей придумана не случайно, потому как методы устранения и , Ordu (ok), 11:32 , 07-Ноя-20, (82)
по-моему, все современные сайты с JS такие , СеменСеменыч777 (?), 21:19 , 07-Ноя-20, (89)

Знаю контору, где месяц как во всём парке серверов screen на сабж заменили , InuYasha (??), 13:05 , 06-Ноя-20, (2) +2

даже интересно, а чем руководствовались screen можно назвать стандартом де-факт, m.makhno (ok), 13:07 , 06-Ноя-20, (4) –8

Мы буквально обсуждаем более функциональную альтернативу , Owlet (?), 13:11 , 06-Ноя-20, (6) +13

не вся функциональность декларирована, Michael Shigorin (ok), 14:16 , 06-Ноя-20, (25) –2

tmux под ISC, что почти BSD,а screen, учитывая что он GNU Screen, думаю понятно , Your mama (?), 13:16 , 06-Ноя-20, (7) –8
Вот чем руководствовались https savannah gnu org bugs group screen, Дима (??), 14:33 , 06-Ноя-20, (27)

Хорошая новость для конторы, большинство стабильных дистров не затронуло вовсе, , topin89 (ok), 13:18 , 06-Ноя-20, (8)

Ну это как сказать, попробуйте на дебиане бастер стретч те ескайп строчки из с, OpenEcho (?), 00:23 , 07-Ноя-20, (72) +1

Зачем tmux на серверах Всегда использовал и использую его строго с локальной та, Аноним (22), 14:09 , 06-Ноя-20, (22) –3

SIGHUP, Michael Shigorin (ok), 14:17 , 06-Ноя-20, (26)

Ой, чота у вас там отвалилось А причем тут мы , myhand (ok), 19:23 , 06-Ноя-20, (51) +2

Чтобы запустить какой-то длительный процесс в обычном интерактивном терминале, н, Аноним (32), 15:14 , 06-Ноя-20, (32)

Зачем интерактивный процесс запускать в не интерактивном режиме А как наблюдать, Sw00p aka Jerom (?), 17:51 , 06-Ноя-20, (46) –2

Где тебе сказали, что процесс - интерактивный Вопрос с подвохом, на умение ч, myhand (ok), 19:26 , 06-Ноя-20, (55) +1

а кто вам сказал, что для запуска не интерактивного процесса нужен tmux или пляс, Sw00p aka Jerom (?), 20:33 , 06-Ноя-20, (57) –1

Таки да, и микроскопом можно гвозди забивать , myhand (ok), 20:52 , 06-Ноя-20, (59) +1

А если амперсанд в конце команды добавить то оно разве не в фоне будет работать , Аноним (60), 21:07 , 06-Ноя-20, (60)

Будет, но завершит работу, если завершит работу дочерний шелл, например если раз, BrainFucker (ok), 21:52 , 06-Ноя-20, (63) +2
SIGHUP SIGHUP SIGHUP Напиши 1000 раз Одного, очевидно, для тебя было мало , myhand (ok), 07:22 , 07-Ноя-20, (78)

Тут два случая - неинтерактивный и интерактивный процессы В случае с неинтеракти, Аноним (32), 17:48 , 08-Ноя-20, (91) +1

добавьте еще понятие foreground и backgroundне деаттачится - foreground, иначе -, Sw00p aka Jerom (?), 12:02 , 09-Ноя-20, (95)

Это правило касается не только сервера, а любого проекта, Lex (??), 10:44 , 07-Ноя-20, (80)

И правильно сделали, - сравните количество CVE tmux и screen , OpenEcho (?), 18:20 , 06-Ноя-20, (48)

Хм С момента выхода tmux наверное, нет смысла смотреть на детские болячки scre, Анонимленьлогиниться (?), 20:42 , 08-Ноя-20, (94) +1

Не работает, burik666 (ok), 13:10 , 06-Ноя-20, (5)

Дык эта версия релизнута как раз под этот фикс , погроммист (?), 13:11 , 07-Ноя-20, (83) +1

Уже понял Из текста новости не очевидно это было , burik666 (ok), 13:16 , 07-Ноя-20, (85)

Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему, Иваня (?), 13:21 , 06-Ноя-20, (9) –6

Собственно, все его пользователи отметились выше , Аноним (11), 13:30 , 06-Ноя-20, (12) –2
Самое время начать, Вшталик (?), 13:43 , 06-Ноя-20, (14) +1
иногда это самый простой способ запустить на сервере какой-нибудь java процесс ч, hshhhhh (ok), 13:59 , 06-Ноя-20, (16) +5

ну для первого есть nohup, а для второго перенаправление вывода , 1 (??), 14:10 , 06-Ноя-20, (23) –2

nohup можно сразу же выводить в нужный файл, но зачастую иметь сессию с запуще, hshhhhh (ok), 16:04 , 06-Ноя-20, (38) +4

Нууу, зачастую сетуп екзе-далее-далее-готово удобно, а еще без штанов удобно, у , 1 (??), 21:21 , 06-Ноя-20, (61) –6

Скорей всего потому что тебе не приходится по SSH торчать на удалённых хостах ЗЫ, BrainFucker (ok), 21:59 , 06-Ноя-20, (65) +2

В Fedora 33 не воспроизводится, версия tmux - 3 1 Просто пишет server exited u, Аноним (15), 13:53 , 06-Ноя-20, (15) –1

о чем в тексте новости и было написано, но не читатель , 1 (??), 14:01 , 06-Ноя-20, (19) +1

Версия уязвимая, никаких патчей от этой уязвимости нет Можешь сам проверить htt, Аноним (15), 14:04 , 06-Ноя-20, (20)

ASLR патамушта, Аноним (28), 14:47 , 06-Ноя-20, (28)

попробуй после sudo sysctl -w kernel randomize_va_space 0, погроммист (?), 13:13 , 07-Ноя-20, (84)

А нефиг так задро неприемлемая_лексика , user90 (?), 14:00 , 06-Ноя-20, (17) –1
screen наше всё, анон (?), 14:07 , 06-Ноя-20, (21) +2

https www cvedetails com vulnerability-list vendor_id-72 product_id-1860 GNU-S, OpenEcho (?), 18:21 , 06-Ноя-20, (49) –1

Да ладно, немного совсем Последняя появилась после того, как туда набежал Наумо, Аноним (28), 22:55 , 06-Ноя-20, (69) +1

Вообще-то три cve за последине 10 летhttps cve mitre org cgi-bin cvekey cgi ke, OpenEcho (?), 00:38 , 07-Ноя-20, (73)

Количество CVE ни о чём не говорит Во-первых, эти списки у каждого свои, во-вто, Аноним (88), 19:30 , 07-Ноя-20, (88)

Он работает над кодом как и раньше , Аноним (96), 23:42 , 01-Фев-22, (96)

Ничё, со временем всё перепишут на раст и будет чики-брики , Wilem82 (?), 15:00 , 06-Ноя-20, (29) –2

Работать перестанет Программа, а не уязвимость Охотно верю , псевдонимус (?), 16:20 , 06-Ноя-20, (44)

ага, cheeky-bricky , InuYasha (??), 18:11 , 06-Ноя-20, (47) +1

I v damki - , псевдонимус (?), 18:36 , 06-Ноя-20, (50) –1

Maslinoo slovil , bergentroll (ok), 22:08 , 06-Ноя-20, (66) +1
Если уж продолжать начатую аналогию, то I v dumbki , Michael Shigorin (ok), 17:58 , 08-Ноя-20, (92) +1

В расте такого быть не может, всегда выведется сообщение о недопустимости ввода , Аноним (39), 16:12 , 06-Ноя-20, (39)

Фрактал, проспись и залогинься , myhand (ok), 19:28 , 06-Ноя-20, (56) +1

Только лучше не здесь, а на ЛОРе Там ему самое место , BrainFucker (ok), 21:55 , 06-Ноя-20, (64)

при входе по ssh на вредоносный хост - непонятно, а зачем вообще ходить по ss, Аноним (52), 19:23 , 06-Ноя-20, (52)

А чем мне на них - телнетом что-ли ходить Он же небезоспастный Кто-то может ук, пох. (?), 20:34 , 06-Ноя-20, (58) +3

Да ты философ , microsoft (?), 21:29 , 06-Ноя-20, (62) –1

Это на тот случай, если твой хост вдруг стал вредоносным Скажем, у другого чело, Рмшъ (?), 22:54 , 06-Ноя-20, (68)
Незачем Но тебе никто и не предлагал , Ordu (ok), 23:15 , 06-Ноя-20, (71)

Каждый раз ржу с этих переполняемых дырищ, Аноним (67), 22:26 , 06-Ноя-20, (67) –2

Напиши лучше и без дырищ , Аноним (28), 22:57 , 06-Ноя-20, (70) +2

Деньги будешь плотить, или как всегда , Аноним (90), 15:00 , 08-Ноя-20, (90)

Стулья вперёд , Michael Shigorin (ok), 17:59 , 08-Ноя-20, (93)

Было бы очень интересно посмотреть на твои проекты, которые без дырищ и хотя бы , OpenEcho (?), 00:44 , 07-Ноя-20, (74)

Всегда ржу с людей, которые, испытывая баттхёрт, достают из широких штанин аргум, Ordu (ok), 02:28 , 07-Ноя-20, (76) –2

Не бзди, ты просто всегда ржёшь Наверное даже справка есть, Аноним (79), 09:56 , 07-Ноя-20, (79) +2

Ну я хожу на опеннет за этим, так что ничего удивительного Нет, у меня с врачами, Ordu (ok), 11:27 , 07-Ноя-20, (81) –1

там эта дыра такая не одна, нутром чую - а доказать не могуж дебажится он нелегк, Аноним (-), 05:30 , 07-Ноя-20, (77) –1

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –32 +/–

Сообщение от Fracta1L (ok), 06-Ноя-20, 13:01

> приводящая к переполнению буфера при вводе специально оформленной escape-последовательности
Обожаю сишечку))

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +17 +/–

Сообщение от наноним (?), 06-Ноя-20, 13:06

Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша?

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +14 +/–

Сообщение от Аноним (11), 06-Ноя-20, 13:29

Есть - не открывать комментарии на данном сайте, а заодно на паре других. Потому что.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Аноним (54), 06-Ноя-20, 19:26

>не открывать комментарии на данном сайте
Э, батенька, полегче, если вы не будете читать наши кремлекомментарии, то нас всех уволят! И кстати вашего Шг. тоже кстати выкинут на мороз за недадобностью!

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +10 +/–

Сообщение от Аноним84701 (ok), 06-Ноя-20, 14:15

> Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша?
"Личный кабинет", "отслеживание обсуждений и участников",  "фильтр участников".
https://www.opennet.ru/cgi-bin/openforum/bv.cgi
Детали и разъяснения
https://www.opennet.ru/openforum/vsluhforumID4/588.html

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

35. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (35), 06-Ноя-20, 15:34

>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД
А анонимусу как этим воспользоваться? Опять дискриминация!

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +3 +/–

Сообщение от Аноним84701 (ok), 06-Ноя-20, 16:13

>>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД
> А анонимусу как этим воспользоваться? Опять дискриминация!
Например, предложить свою реализацию фильтров, полностью на стороне пользователя/в клиенте?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –3 +/–

Сообщение от псевдонимус (?), 06-Ноя-20, 16:16

Ты позор анонимусов.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

33. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Аноним (33), 06-Ноя-20, 15:21

Создать правило для блокировщика рекламы.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

36. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от A (?), 06-Ноя-20, 15:47

В нормальных OS и на нормальных процах переполнение буфера не эксплуатируется.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +4 +/–

Сообщение от develop7 (ok), 06-Ноя-20, 16:18

«джентльмены верят друг другу на слово»

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от Аноним (86), 07-Ноя-20, 18:00

Дело в математике, строгий контроль за W^X и запрет изменений режимов памяти.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Аноним (86), 07-Ноя-20, 18:01

Ты не верь, ты проверь:
paxtest blackhat

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

41. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от Корец (?), 06-Ноя-20, 16:14

Для тебя уже заготовлена персональная сишная дырень в аду :)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

75. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Аноним (75), 07-Ноя-20, 01:00

>>  escape-последовательности
> Обожаю сишечку))
Это не имеет значения, похожие уязвимости можно и в javascript устроить. Там конечно вряд ли получится "выполнение произвольного кода", но обойти проверки доступа, или "выжрать" всю доступную оперативку  - на счёт раз! Те же SQL-инъекции эксплуатируются уже лет 20 как...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

82. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Ordu (ok), 07-Ноя-20, 11:32

Классификация уязвимостей придумана не случайно, потому как методы устранения и избегания этих уязвимостей разные. Выход за границу массива делается невозможным при проверке на выход при обращении. sql-инъекцию ты проверками не устранишь (можно попытаться, но на более-менее сложном софте тебе никогда не удастся _доказать_ невозможность sql-инъекции, несмотря ни на какие проверки), к ней нужны другие подходы.
Это я к тому, что не переводите стрелки в стиле "а у них негров линчуют".

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от СеменСеменыч777 (?), 07-Ноя-20, 21:19

> "выжрать" всю доступную оперативку
по-моему, все современные сайты с JS такие.

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

2. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от InuYasha (??), 06-Ноя-20, 13:05

Знаю контору, где месяц как во всём парке серверов screen на сабж заменили )

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –8 +/–

Сообщение от m.makhno (ok), 06-Ноя-20, 13:07

даже интересно, а чем руководствовались? screen можно назвать стандартом де-факто, учитывая, что альтернатив то особо и нет

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +13 +/–

Сообщение от Owlet (?), 06-Ноя-20, 13:11

> альтернатив то особо и нет
Мы буквально обсуждаем более функциональную альтернативу.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Michael Shigorin (ok), 06-Ноя-20, 14:16

* не вся функциональность декларирована

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –8 +/–

Сообщение от Your mama (?), 06-Ноя-20, 13:16

tmux под ISC, что почти BSD,а screen, учитывая что он GNU Screen, думаю понятно под чем.
Возможно поэтому tmux и отжимает долю потихоньку.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

27. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Дима (??), 06-Ноя-20, 14:33

Вот чем руководствовались https://savannah.gnu.org/bugs/?group=screen

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от topin89 (ok), 06-Ноя-20, 13:18

Хорошая новость для конторы, большинство стабильных дистров не затронуло вовсе, остальные уже обновили до исправленной версии

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

72. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от OpenEcho (?), 07-Ноя-20, 00:23

>большинство стабильных дистров не затронуло вовсе...
Ну это как сказать, попробуйте на дебиане (бастер/стретч) те ескайп строчки из статьи, оно хоть и не делает файл /tmp/PAWNED, но tmux с грохотом падает, ничего из под него уже не будет работать без перезапуска

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –3 +/–

Сообщение от Аноним (22), 06-Ноя-20, 14:09

Зачем tmux на серверах? Всегда использовал и использую его строго с локальной тачки
Это же базовое правило безопасности: если что-то МОЖНО не устанавливать на сервере, то это НЕ НАДО устанавливать

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

26. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Michael Shigorin (ok), 06-Ноя-20, 14:17

SIGHUP

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от myhand (ok), 06-Ноя-20, 19:23

"Ой, чота у вас там отвалилось.  А причем тут мы?"

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (32), 06-Ноя-20, 15:14

Чтобы запустить какой-то длительный процесс в обычном интерактивном терминале, не заморачиваясь с nohup.
Для этого, конечно, screen более чем достаточно.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

46. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Sw00p aka Jerom (?), 06-Ноя-20, 17:51

Зачем интерактивный процесс запускать в не интерактивном режиме? А как наблюдать тогда за ходом процесса? Перенаправить вывод в файл? А просмотр файла возможен в не интерактивном режиме?

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от myhand (ok), 06-Ноя-20, 19:26

Где тебе сказали, что процесс - интерактивный? // Вопрос с подвохом, на умение читать элементарные тексты буквально.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от Sw00p aka Jerom (?), 06-Ноя-20, 20:33

> Где тебе сказали, что процесс - интерактивный? // Вопрос с подвохом, на
> умение читать элементарные тексты буквально.
а кто вам сказал, что для запуска не интерактивного процесса нужен tmux или пляски с nohup?

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от myhand (ok), 06-Ноя-20, 20:52

Таки да, и микроскопом можно гвозди забивать.

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (60), 06-Ноя-20, 21:07

А если амперсанд в конце команды добавить то оно разве не в фоне будет работать?

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от BrainFucker (ok), 06-Ноя-20, 21:52

Будет, но завершит работу, если завершит работу дочерний шелл, например если разорвётся ssh соединение или если закрыть консоль и т.д.

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от myhand (ok), 07-Ноя-20, 07:22

SIGHUP SIGHUP SIGHUP ...
Напиши 1000 раз.  Одного, очевидно, для тебя было мало.

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

91. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Аноним (32), 08-Ноя-20, 17:48

Тут два случая - неинтерактивный и интерактивный процессы.
В случае с неинтерактивным, который, однако, не детачится от терминала, нужно обеспечить, чтобы он работал, когда я закрою ssh или у меня отвалится связь. Это можно сделать через nohup и амперсанд, и в принципе так обычно и делают, но screen/tmux зачастую удобнее.
В случае с длительным интерактивным процессом же вообще screen/tmux - единственный вариант, если я хочу закрыть консоль или у меня нестабильное соединение.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

95. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Sw00p aka Jerom (?), 09-Ноя-20, 12:02

> Тут два случая - неинтерактивный и интерактивный процессы.
добавьте еще понятие foreground и background
> В случае с неинтерактивным, который, однако, не детачится от терминала, нужно обеспечить,
> чтобы он работал, когда я закрою ssh или у меня отвалится
> связь. Это можно сделать через nohup и амперсанд, и в принципе
> так обычно и делают, но screen/tmux зачастую удобнее.
не деаттачится - foreground, иначе - background
> В случае с длительным интерактивным процессом же вообще screen/tmux - единственный вариант,
> если я хочу закрыть консоль или у меня нестабильное соединение.
интерактивный процесс - ждет действия от пользователя, а тот же foreground процесс - не обязательно.

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Lex (??), 07-Ноя-20, 10:44

Это правило касается не только сервера, а любого проекта

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

48. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от OpenEcho (?), 06-Ноя-20, 18:20

> Знаю контору, где месяц как во всём парке серверов screen на сабж заменили )
И правильно сделали, - сравните количество CVE tmux и screen

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

94. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Анонимленьлогиниться (?), 08-Ноя-20, 20:42

Хм? С момента выхода tmux (наверное, нет смысла смотреть на детские болячки screen, вылезавшие тогда, когда tmux еще в проекте не было) по screen было два CVE, оба локальные (получить информацию о сессии в 2009 и более серьезная в 2017, но тем не менее требующая локального пользователя, а не тупо вывода чего-то через curl, как тут).

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от burik666 (ok), 06-Ноя-20, 13:10

> tmux 3.1c
Не работает

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от погроммист (?), 07-Ноя-20, 13:11

Дык эта версия релизнута как раз под этот фикс.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от burik666 (ok), 07-Ноя-20, 13:16

Уже понял. Из текста новости не очевидно это было.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –6 +/–

Сообщение от Иваня (?), 06-Ноя-20, 13:21

Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Аноним (11), 06-Ноя-20, 13:30

Собственно, все его пользователи отметились выше.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Вшталик (?), 06-Ноя-20, 13:43

Самое время начать

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

16. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +5 +/–

Сообщение от hshhhhh (ok), 06-Ноя-20, 13:59

иногда это самый простой способ запустить на сервере какой-нибудь java процесс чтобы он не умер после отключения от хоста
при этом если снова подключиться будет виден весь output в консоли и вот это вот всё.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

23. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от 1 (??), 06-Ноя-20, 14:10

ну для первого есть nohup, а для второго перенаправление вывода.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +4 +/–

Сообщение от hshhhhh (ok), 06-Ноя-20, 16:04

> ну для первого есть nohup, а для второго перенаправление вывода.
`nohup` можно сразу же выводить в нужный файл, но зачастую иметь сессию с запущенным процессом просто удобнее.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –6 +/–

Сообщение от 1 (??), 06-Ноя-20, 21:21

Нууу, зачастую сетуп.екзе-далее-далее-готово удобно, а еще без штанов удобно, у нас конечно холодно,но говорят так и есть.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от BrainFucker (ok), 06-Ноя-20, 21:59

> Никогда ещё не приходилось юзать консольные оконные менеджеры, может и к лучшему.
Скорей всего потому что тебе не приходится по SSH торчать на удалённых хостах.
ЗЫ: предпочитаю Byobu (надстройка над Tmux с дополнительными свистоперделками).

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от Аноним (15), 06-Ноя-20, 13:53

В Fedora 33 не воспроизводится, версия tmux - 3.1.
Просто пишет `[server exited unexpectedly]` и ничего не делает.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от 1 (??), 06-Ноя-20, 14:01

о чем в тексте новости и было написано, но не читатель...

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (15), 06-Ноя-20, 14:04

Версия уязвимая, никаких патчей от этой уязвимости нет.
Можешь сам проверить: https://src.fedoraproject.org/rpms/tmux/commits/master.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (28), 06-Ноя-20, 14:47

ASLR патамушта

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от погроммист (?), 07-Ноя-20, 13:13

попробуй после sudo sysctl -w kernel.randomize_va_space=0

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от user90 (?), 06-Ноя-20, 14:00

> при просмотре через curl содержимого вредоносной страницы
А нефиг так задро*неприемлемая_лексика*!))

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от анон (?), 06-Ноя-20, 14:07

screen наше всё

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от OpenEcho (?), 06-Ноя-20, 18:21

https://www.cvedetails.com/vulnerability-list/vendor_id-72/p...

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Аноним (28), 06-Ноя-20, 22:55

Да ладно, немного совсем. Последняя появилась после того, как туда набежал Наумов, но он, к счастью, уже слился. А остальные были >10 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от OpenEcho (?), 07-Ноя-20, 00:38

Вообще-то три cve за последине 10 лет
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=gnu+screen
A у субжа всего 4 cve, включая последнюю, из которых две cve-шки связаны с аппликухами аппло- iTerm2 и вторая GNU Parallel.
Не знаю, по удобству ИМХО тмукс далеко впереди скрина

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (88), 07-Ноя-20, 19:30

Количество CVE ни о чём не говорит. Во-первых, эти списки у каждого свои, во-вторых, попадает в них наверно только десятая часть серьёзных проблем, а несерьёзные обычно вовсе игнорируется. Разобраться какие же там уязвимости были в софте всего пару лет назад (и исправили ли их, в этом дистрибутиве или вообще) бывает довольно непросто, придётся как минимум анализировать исходники и все новости за весь период. В общем случае, конечно, чем свежее софт, тем лучше, если в нём только "внезапно" не найдут бэкдоры спецслужб или откровенно некачественный код. Дыры стараются закрывать, это стремление любого нормального человека.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (96), 01-Фев-22, 23:42

Он работает над кодом как и раньше))

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

29. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Wilem82 (?), 06-Ноя-20, 15:00

Ничё, со временем всё перепишут на раст и будет чики-брики.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от псевдонимус (?), 06-Ноя-20, 16:20

Работать перестанет? Программа, а не уязвимость. Охотно верю.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от InuYasha (??), 06-Ноя-20, 18:11

ага, cheeky-bricky )

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от псевдонимус (?), 06-Ноя-20, 18:36

> ага, cheeky-bricky )
I v damki! ;-)

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от bergentroll (ok), 06-Ноя-20, 22:08

Maslinoo slovil.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от Michael Shigorin (ok), 08-Ноя-20, 17:58

>> ага, cheeky-bricky )
> I v damki! ;-)
Если уж продолжать начатую аналогию, то I v dumbki :]

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

39. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (39), 06-Ноя-20, 16:12

В расте такого быть не может, всегда выведется сообщение о недопустимости ввода подобных сообщений. Взломщики испытают моральные муки и перестанут взламывать.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +1 +/–

Сообщение от myhand (ok), 06-Ноя-20, 19:28

Фрактал, проспись и залогинься.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от BrainFucker (ok), 06-Ноя-20, 21:55

> Фрактал, проспись и залогинься.
Только лучше не здесь, а на ЛОРе. Там ему самое место.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (52), 06-Ноя-20, 19:23

"при входе по ssh на вредоносный хост" - непонятно, а зачем вообще ходить  по ssh на вредоносные хосты?

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +3 +/–

Сообщение от пох. (?), 06-Ноя-20, 20:34

А чем мне на них - телнетом что-ли ходить?! Он же небезоспастный!
Кто-то может украсть мои пароли от вредоносного хоста, или даже подсунуть мне другой, неправильный троян!

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от microsoft (?), 06-Ноя-20, 21:29

Да ты философ...

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Рмшъ (?), 06-Ноя-20, 22:54

Это на тот случай, если твой хост вдруг стал вредоносным. Скажем, у другого человека, виндузятника, ключ угнали.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

71. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Ordu (ok), 06-Ноя-20, 23:15

Незачем. Но тебе никто и не предлагал.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

67. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Аноним (67), 06-Ноя-20, 22:26

Каждый раз ржу с этих переполняемых дырищ

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от Аноним (28), 06-Ноя-20, 22:57

Напиши лучше и без дырищ.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Аноним (90), 08-Ноя-20, 15:00

Деньги будешь плотить, или как всегда?

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от Michael Shigorin (ok), 08-Ноя-20, 17:59

> Деньги будешь плотить, или как всегда?
Стулья вперёд.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +/–

Сообщение от OpenEcho (?), 07-Ноя-20, 00:44

> Каждый раз ржу с этих переполняемых дырищ
Было бы очень интересно посмотреть на твои проекты, которые без дырищ и хотя бы на 1/100 были б близки по популярности к сабжу.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

76. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –2 +/–

Сообщение от Ordu (ok), 07-Ноя-20, 02:28

Всегда ржу с людей, которые, испытывая баттхёрт, достают из широких штанин аргумент "сперва добейся".

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." +2 +/–

Сообщение от Аноним (79), 07-Ноя-20, 09:56

Не бзди, ты просто всегда ржёшь. Наверное даже справка есть

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от Ordu (ok), 07-Ноя-20, 11:27

> Не бзди, ты просто всегда ржёшь.
Ну я хожу на опеннет за этим, так что ничего удивительного.
> Наверное даже справка есть
Нет, у меня с врачами отношения не складываются, и получить из под них справку для меня каждый раз большая проблема. Проще так с начальством поговорить и взять за свой счёт.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в tmux, эксплуатируемая через escape-последовател..." –1 +/–

Сообщение от Аноним (-), 07-Ноя-20, 05:30

там эта дыра такая не одна, нутром чую - а доказать не могуж дебажится он нелегко. Попадать на глюки в нём - попадал, но найти и пофиксить в основном не удавалось. Опыт какой-никакой есть - но не помог.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–32 +/–
Сообщение от Fracta1L (ok), 06-Ноя-20, 13:01
> приводящая к переполнению буфера при вводе специально оформленной escape-последовательности Обожаю сишечку))
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+17 +/–
	Сообщение от наноним (?), 06-Ноя-20, 13:06
	Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+14 +/–
	Сообщение от Аноним (11), 06-Ноя-20, 13:29
	Есть - не открывать комментарии на данном сайте, а заодно на паре других. Потому что.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+1 +/–
	Сообщение от Аноним (54), 06-Ноя-20, 19:26
	>не открывать комментарии на данном сайте Э, батенька, полегче, если вы не будете читать наши кремлекомментарии, то нас всех уволят! И кстати вашего Шг. тоже кстати выкинут на мороз за недадобностью!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+10 +/–
	Сообщение от Аноним84701 (ok), 06-Ноя-20, 14:15
	> Есть ли способ, как автоматически скрывать твои каменты, сорт-оф-sjw-няша? "Личный кабинет", "отслеживание обсуждений и участников", "фильтр участников". https://www.opennet.ru/cgi-bin/openforum/bv.cgi Детали и разъяснения https://www.opennet.ru/openforum/vsluhforumID4/588.html
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	35. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от Аноним (35), 06-Ноя-20, 15:34
	>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД А анонимусу как этим воспользоваться? Опять дискриминация!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+3 +/–
	Сообщение от Аноним84701 (ok), 06-Ноя-20, 16:13
	>>Для использования системы пользователь должен быть зарегистрирован в форуме. Вы должны зайти в форум как зарегистрированный участник через ссылку ВХОД > А анонимусу как этим воспользоваться? Опять дискриминация! Например, предложить свою реализацию фильтров, полностью на стороне пользователя/в клиенте?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–3 +/–
	Сообщение от псевдонимус (?), 06-Ноя-20, 16:16
	Ты позор анонимусов.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	33. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+1 +/–
	Сообщение от Аноним (33), 06-Ноя-20, 15:21
	Создать правило для блокировщика рекламы.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	36. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–2 +/–
	Сообщение от A (?), 06-Ноя-20, 15:47
	В нормальных OS и на нормальных процах переполнение буфера не эксплуатируется.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	43. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+4 +/–
	Сообщение от develop7 (ok), 06-Ноя-20, 16:18
	«джентльмены верят друг другу на слово»
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–1 +/–
	Сообщение от Аноним (86), 07-Ноя-20, 18:00
	Дело в математике, строгий контроль за W^X и запрет изменений режимов памяти.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	87. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–2 +/–
	Сообщение от Аноним (86), 07-Ноя-20, 18:01
	Ты не верь, ты проверь: paxtest blackhat
	Ответить \| Правка \| К родителю #43 \| Наверх \| Cообщить модератору


	41. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+2 +/–
	Сообщение от Корец (?), 06-Ноя-20, 16:14
	Для тебя уже заготовлена персональная сишная дырень в аду :)
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	75. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+1 +/–
	Сообщение от Аноним (75), 07-Ноя-20, 01:00
	>> escape-последовательности > Обожаю сишечку)) Это не имеет значения, похожие уязвимости можно и в javascript устроить. Там конечно вряд ли получится "выполнение произвольного кода", но обойти проверки доступа, или "выжрать" всю доступную оперативку - на счёт раз! Те же SQL-инъекции эксплуатируются уже лет 20 как...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	82. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от Ordu (ok), 07-Ноя-20, 11:32
	Классификация уязвимостей придумана не случайно, потому как методы устранения и избегания этих уязвимостей разные. Выход за границу массива делается невозможным при проверке на выход при обращении. sql-инъекцию ты проверками не устранишь (можно попытаться, но на более-менее сложном софте тебе никогда не удастся _доказать_ невозможность sql-инъекции, несмотря ни на какие проверки), к ней нужны другие подходы. Это я к тому, что не переводите стрелки в стиле "а у них негров линчуют".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от СеменСеменыч777 (?), 07-Ноя-20, 21:19
	> "выжрать" всю доступную оперативку по-моему, все современные сайты с JS такие.
	Ответить \| Правка \| К родителю #75 \| Наверх \| Cообщить модератору

2. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+2 +/–
Сообщение от InuYasha (??), 06-Ноя-20, 13:05
Знаю контору, где месяц как во всём парке серверов screen на сабж заменили )
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–8 +/–
	Сообщение от m.makhno (ok), 06-Ноя-20, 13:07
	даже интересно, а чем руководствовались? screen можно назвать стандартом де-факто, учитывая, что альтернатив то особо и нет
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+13 +/–
	Сообщение от Owlet (?), 06-Ноя-20, 13:11
	> альтернатив то особо и нет Мы буквально обсуждаем более функциональную альтернативу.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–2 +/–
	Сообщение от Michael Shigorin (ok), 06-Ноя-20, 14:16
	* не вся функциональность декларирована
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–8 +/–
	Сообщение от Your mama (?), 06-Ноя-20, 13:16
	tmux под ISC, что почти BSD,а screen, учитывая что он GNU Screen, думаю понятно под чем. Возможно поэтому tmux и отжимает долю потихоньку.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	27. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от Дима (??), 06-Ноя-20, 14:33
	Вот чем руководствовались https://savannah.gnu.org/bugs/?group=screen
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	8. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от topin89 (ok), 06-Ноя-20, 13:18
	Хорошая новость для конторы, большинство стабильных дистров не затронуло вовсе, остальные уже обновили до исправленной версии
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	72. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+1 +/–
	Сообщение от OpenEcho (?), 07-Ноя-20, 00:23
	>большинство стабильных дистров не затронуло вовсе... Ну это как сказать, попробуйте на дебиане (бастер/стретч) те ескайп строчки из статьи, оно хоть и не делает файл /tmp/PAWNED, но tmux с грохотом падает, ничего из под него уже не будет работать без перезапуска
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–3 +/–
	Сообщение от Аноним (22), 06-Ноя-20, 14:09
	Зачем tmux на серверах? Всегда использовал и использую его строго с локальной тачки Это же базовое правило безопасности: если что-то МОЖНО не устанавливать на сервере, то это НЕ НАДО устанавливать
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	26. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от Michael Shigorin (ok), 06-Ноя-20, 14:17
	SIGHUP
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+2 +/–
	Сообщение от myhand (ok), 06-Ноя-20, 19:23
	"Ой, чота у вас там отвалилось. А причем тут мы?"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	+/–
	Сообщение от Аноним (32), 06-Ноя-20, 15:14
	Чтобы запустить какой-то длительный процесс в обычном интерактивном терминале, не заморачиваясь с nohup. Для этого, конечно, screen более чем достаточно.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	46. "Уязвимость в tmux, эксплуатируемая через escape-последовател..."	–2 +/–
	Сообщение от Sw00p aka Jerom (?), 06-Ноя-20, 17:51
	Зачем интерактивный процесс запускать в не интерактивном режиме? А как наблюдать тогда за ходом процесса? Перенаправить вывод в файл? А просмотр файла возможен в не интерактивном режиме?
	Ответить \| Правка \| Наверх \| Cообщить модератору