forum.opennet.ru

"Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
Сообщение от Аноним (-), 30-Апр-24, 21:11
>> Если в сишке это system() > использую popen. но есть подозрения что кто-то сможет передать программе данные через > пайп. Надо удалить, или переписать на безопастном (с). В system() проблема в том что если програмер лох, атакующему который контролирует ввод легко срубить текущую команду - и донавесить своих внагрузку. Зафильтровать можно, но лучше взять за правило никогда не вызывать system() с данными контролируемыми внешним миром. Это почти как шелл внешнему миру вывесить. А eval().. я как-то посмотрел сорц bitmessage, там жуткое спагетти и вот это. Я решил что такой сблюв я юзать не бу. Чутье не подвело - через полгодика кто-то подтвердил что таки - бэкдор это.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx, opennews, 30-Апр-24, 11:12 [смотреть все]

Кому интересно - могут почитать ещё https codeberg org KFmts kaitai_struct_for, Аноним, 30-Апр-24, 11:30 (4)
Ну R очень специфический язык, используется для научных разработок И кому нужно, Аноним, 30-Апр-24, 11:50 (5) //
- Доступ к вычислительным кластерам может быть интересен СГА, например, с целью са, Аноним, 30-Апр-24, 17:54 (16) //
  - Зачем R вперся в центрифугах Хотя сторонники куклускланов и прочих теорий загов, Аноним, 01-Май-24, 16:02 (29) //
    - Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и стро, Аноним, 01-Май-24, 16:14 (31)
      - Фэйл этого плана в том что все это врядли к центрифугам подключено будет, и изна, Аноним, 01-Май-24, 22:46 (34)
        
        Так центрифуги тоже не были подключены, почитай на досуге Поправить расчёты мож, Аноним, 01-Май-24, 23:30 (37)
        
        Так я тоже читал И ума не приложу - как R с этим всем может пересечься, чтобы о, Аноним, 02-Май-24, 20:36 (38)
- научные разработки такие научные, Бывалый Смузихлёб, 01-Май-24, 12:42 (28)
Что же могло пойти не так , commiethebeastie, 30-Апр-24, 12:42 (8) //
- блин, ну зачем спалили, теперь новую уязвимость придумывать, Аноним, 30-Апр-24, 13:11 (9) //
  - Назвовём новую eval2, Аноним, 01-Май-24, 11:35 (26)
Теперь вы знаете как искать бэкдоры и вулны Если в сишке это system то в скри, Аноним, 30-Апр-24, 16:33 (12) //
- Спасибо, кэп, а то мы не знали Прямо в liblzma - system , Аноним, 30-Апр-24, 17:09 (13) //
  - Ну вот этот решил разнообразие проявить - нагомнякал в сборочной системе какую-т, Аноним, 30-Апр-24, 20:45 (20)
- использую popen но есть подозрения что кто-то сможет передать программе данные , тыквенное латте, 30-Апр-24, 18:01 (18) //
  - В system проблема в том что если програмер лох, атакующему который контролируе , Аноним, 30-Апр-24, 21:11 (22)
- В Сишке самая главная - это a i , где i sizeof a sizeof Type_a , Аноним, 01-Май-24, 11:57 (27) //
  - Это поди еще там заэксплуатируй на современной системе с всеми костылями и секур, Аноним, 01-Май-24, 16:08 (30) //
    - Приведите пример что такого можно передать в system, Аноним, 01-Май-24, 18:06 (32)
      - Ман недвусмысленно говорит code Any user input that is employed as part of comm, Аноним, 01-Май-24, 22:54 (35)
        
        Ой, вот так прям эксплоит Я думал там серьёзная проблема есть , Аноним, 04-Май-24, 03:15 (39)
        
        Да вот dumb f s которые считают что пользовательскому или ремотному вводу можн, Аноним, 04-Май-24, 03:59 (40)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру