forum.opennet.ru

"Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Уязвимость в реализации языка R, позволяющая выполнить код п..."	+/–
Сообщение от Аноним (35), 01-Май-24, 22:54
> Приведите пример что такого можно передать в system Ман недвусмысленно говорит: Any user input that is employed as part of command should be carefully sanitized, to ensure that unexpected shell commands or command options are not executed. Such risks are especially grave when using system() from a privileged program. Т.е. например если оно там где-то берет параметр из юзерского ввода, вбить в ввод нечто типа "abc; ls -la / > /tmp/wtf" - и посмотреть не прокатит ли такой номер?! Это по сути вызов шелла. И если прогер лох - ну, упс, как тебе такой ввод "параметра" шеллу? :). Идея таких сплойтов: первая часть закрывает легитимную команду. Вторая - донавешивает незапланированые бонусы после этого. Конкретика первой части может немного меняться, в зависимости от того что там програмер делал, но идея остается.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в реализации языка R, позволяющая выполнить код при обработке файлов rds и rdx, opennews, 30-Апр-24, 11:12 [смотреть все]

Кому интересно - могут почитать ещё https codeberg org KFmts kaitai_struct_for, Аноним, 30-Апр-24, 11:30 (4)
Ну R очень специфический язык, используется для научных разработок И кому нужно, Аноним, 30-Апр-24, 11:50 (5) //
- Доступ к вычислительным кластерам может быть интересен СГА, например, с целью са, Аноним, 30-Апр-24, 17:54 (16) //
  - Зачем R вперся в центрифугах Хотя сторонники куклускланов и прочих теорий загов, Аноним, 01-Май-24, 16:02 (29) //
    - Центрифугам вряд ли необходим, а вот организациями, производящими расчёты и стро, Аноним, 01-Май-24, 16:14 (31)
      - Фэйл этого плана в том что все это врядли к центрифугам подключено будет, и изна, Аноним, 01-Май-24, 22:46 (34)
        
        Так центрифуги тоже не были подключены, почитай на досуге Поправить расчёты мож, Аноним, 01-Май-24, 23:30 (37)
        
        Так я тоже читал И ума не приложу - как R с этим всем может пересечься, чтобы о, Аноним, 02-Май-24, 20:36 (38)
- научные разработки такие научные, Бывалый Смузихлёб, 01-Май-24, 12:42 (28)
Что же могло пойти не так , commiethebeastie, 30-Апр-24, 12:42 (8) //
- блин, ну зачем спалили, теперь новую уязвимость придумывать, Аноним, 30-Апр-24, 13:11 (9) //
  - Назвовём новую eval2, Аноним, 01-Май-24, 11:35 (26)
Теперь вы знаете как искать бэкдоры и вулны Если в сишке это system то в скри, Аноним, 30-Апр-24, 16:33 (12) //
- Спасибо, кэп, а то мы не знали Прямо в liblzma - system , Аноним, 30-Апр-24, 17:09 (13) //
  - Ну вот этот решил разнообразие проявить - нагомнякал в сборочной системе какую-т, Аноним, 30-Апр-24, 20:45 (20)
- использую popen но есть подозрения что кто-то сможет передать программе данные , тыквенное латте, 30-Апр-24, 18:01 (18) //
  - В system проблема в том что если програмер лох, атакующему который контролируе, Аноним, 30-Апр-24, 21:11 (22)
- В Сишке самая главная - это a i , где i sizeof a sizeof Type_a , Аноним, 01-Май-24, 11:57 (27) //
  - Это поди еще там заэксплуатируй на современной системе с всеми костылями и секур, Аноним, 01-Май-24, 16:08 (30) //
    - Приведите пример что такого можно передать в system, Аноним, 01-Май-24, 18:06 (32)
      - Ман недвусмысленно говорит code Any user input that is employed as part of comm , Аноним, 01-Май-24, 22:54 (35)
        
        Ой, вот так прям эксплоит Я думал там серьёзная проблема есть , Аноним, 04-Май-24, 03:15 (39)
        
        Да вот dumb f s которые считают что пользовательскому или ремотному вводу можн, Аноним, 04-Май-24, 03:59 (40)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру