Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива, opennews (??), 15-Май-22, (0) [смотреть все] Вечная уязвимость, Аноним (1), 08:50 , 15-Май-22, (1) +15 // Это из начал но было так задумано Этой фичу использовали многие инсталляторы Т, ИмяХ (?), 09:47 , 15-Май-22, (9) –17 // Программировать - это гораздо сложнее фронт-энда Это надо работать, заниматься , And (??), 10:06 , 15-Май-22, (12) +2 // Это уже шутка недели не меньше , Аноним (25), 12:19 , 15-Май-22, (25) +1 Да ну, бред какой-то, Массоны Рептилоиды (?), 10:53 , 16-Май-22, (91) +1 Чисто поржать, RAR и UNRAR - не есть свободное ПО Как максимум на консольный , Аноним (-), 15:43 , 15-Май-22, (50) +2 // Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только, Аноним (57), 17:58 , 15-Май-22, (57) –1 Мне кажется, он не это имел в виду, но получилось прикольно , Аноним (70), 19:22 , 15-Май-22, (70) Про качество он не говорил Как правило, закрытое ПО качественнее , Гыгыгы (?), 19:24 , 15-Май-22, (72) –4 Мне наприме опенсорсный линукс как-то сильно больше винды нравится Особенно ядр, Аноним (-), 22:10 , 15-Май-22, (78) –2 А погасите трабл с ускорением видео в браузерах Можно не за пару дней, даже на , Аноним (105), 15:00 , 16-Май-22, (105) Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно п, Аноним (-), 22:19 , 16-Май-22, (113) –1 Ну вот так всегда как доходит до дела, так сложна нинужна УМВР и так далее , Аноним (126), 05:25 , 17-Май-22, (126) +1 Т е интузиасты любители своего дела без проплаты никак А как распинались про , Neon (??), 17:18 , 24-Май-22, (129) Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе , Аноним (123), 04:39 , 17-Май-22, (123) Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров, Аноним (126), 05:19 , 17-Май-22, (125) +1 А у меня наоборот ТВ-тюнер так нормально и не завёлся в линухе И никакие форум, Гыгыгы (?), 19:40 , 16-Май-22, (110) +2 Вот тут я честно говоря не очень в курсе Мне из этого интересен разве что RTL_S, Аноним (-), 02:36 , 17-Май-22, (120) Я и говорю 8212 УМВР А вот уменя не сложилось А тут будет УМВР с моей сторон, Гыгыгы (?), 06:06 , 17-Май-22, (127) Другая классическая проблема читаем один файл пишем в другой, но забываем прове, Аноним (48), 15:16 , 15-Май-22, (48) +5 // В архиве это не должно требовать интерпретации архивер должен класть в хидеры п, Аноним (-), 19:16 , 15-Май-22, (69) +2 // p s это все кстати позволяет ряд приколов уровня ФС Файл с именем ничему не , Аноним (-), 19:25 , 15-Май-22, (73) +1 Чутка добавлю Ещё и как имя файла вряд ли прокатит А так 8212 да К, PnD (??), 11:42 , 16-Май-22, (98) Попытка создать такой файл скорее всего обломается - такой файл уже есть, технич, Аноним (-), 22:29 , 16-Май-22, (116) ещё одна такая уязвимость - и ухожу на zip достали , васёк (?), 09:07 , 15-Май-22, (2) +7 // Если у меня не выпадет вайфу_name , я установлю Ubuntu , КО (?), 09:18 , 15-Май-22, (4) +5 У zip другая проблема, хранит имена файлов не в юникоде кракозябры при распак, Аноним (41), 13:32 , 15-Май-22, (41) +3 // 7zip косячнее еще больше В Генту даже новость приходила о том что стоит его вып, Аноним (43), 14:00 , 15-Май-22, (43) // Я всех ввел в заблуждение,в самом деле речь про p7zip, Аноним (43), 14:19 , 15-Май-22, (45) +2 Это единственный 7z, который там есть, версия 6 летней давности или около того , Аноним (57), 15:24 , 15-Май-22, (49) Чего исходникам там утекать Они и так под LGPL Недавно эталонный 7zip стал офи, Аноним (101), 14:33 , 16-Май-22, (101) Там суть в том, что автор зажал исходники актуальных версий, да , Аноним (57), 14:53 , 16-Май-22, (104) Что не так с версией 2016 года , Аноним (58), 18:02 , 15-Май-22, (58) Да, она из 2016 года , qetuo (?), 04:57 , 16-Май-22, (86) unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенн, Аноним (111), 20:39 , 16-Май-22, (111) // А флаг для CP1251 есть А для CP866 А для KOI-8R , www2 (??), 09:40 , 17-Май-22, (128) только arj - только хардкор , Cyber100 (ok), 18:23 , 15-Май-22, (60) // arc - выбор профессионала Ну или lharc, CAE (ok), 19:22 , 15-Май-22, (71) не надо доверять чужому коду переходи на RLE пишется за полчаса , Аноним (97), 11:42 , 16-Май-22, (97) // а если файл извне пришел в руре так то да, любой дурак может, а ты обнови унру, Аноним (-), 22:27 , 16-Май-22, (114) Это не уязвимость в unrar, а фича Вполне полезная, Neon (??), 17:20 , 24-Май-22, (130) Шо, опять , iPony129412 (?), 09:18 , 15-Май-22, (3) +1 Опять виновата дырявая сишка, ИмяХ (?), 09:29 , 15-Май-22, (5) –1 // Здесь не столько сишка сколько отсутствие мозгов , Аноним (6), 09:35 , 15-Май-22, (6) +3 // Надо понимать у тебя мозгов больше чем у разработчиков rar , Аноним (1), 10:30 , 15-Май-22, (16) –2 // Если они настолько посредственно проверяют строки - то даже у начинающего прогге, Бывалый смузихлёб (?), 10:46 , 15-Май-22, (19) +2 Начинаюший прогер про прикол вообще обычно не в курсе На то и начинающий, Аноним (-), 22:35 , 15-Май-22, (82) +1 Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром , Аноним (39), 13:30 , 15-Май-22, (39) +1 // Ты питонист из соседней новости чтоли , Аноним (-), 22:11 , 15-Май-22, (79) Растолиз, Аноним (101), 14:36 , 16-Май-22, (102) Вообще так можно на любом яп налететь, лишь бы с фс работать умел , Аноним (-), 15:45 , 15-Май-22, (51) А почему нельзя сделать проверку куда мы распаковываем и что это нормальное мест, a_kusb (ok), 09:44 , 15-Май-22, (7) // А что значит нормальное место Написано же - насколько позволяют права пользов, ИмяХ (?), 09:48 , 15-Май-22, (10) +1 // Кстати да, это удобно же , a_kusb (ok), 12:44 , 15-Май-22, (30) Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяк, Аноним (11), 10:01 , 15-Май-22, (11) +7 // Любому эксперту с opennet 128019 ясно что это бэкдор , Аноним (1), 10:35 , 15-Май-22, (17) // Да кто таких уязвимостей только не было и в вебсерверах и черте лысом Даже авто, Аноним (25), 12:21 , 15-Май-22, (26) Потому что первое что прихожит кодеру в бошку это взять имя файла и возможно ку, Аноним (-), 15:49 , 15-Май-22, (52) // Ага Insufficient privilegies А вот в bashrc уже писать можно Вычислять насто, Аноним (48), 18:49 , 15-Май-22, (64) // man 3 realpath, Аноним (48), 18:50 , 15-Май-22, (66) Это смотря кто что и куда распаковывал записывал и какие у него права были Да мн, Аноним (-), 19:11 , 15-Май-22, (67) Есть прога можно использовать в shell , а есть функция из glibc Я потому и доба, Аноним (99), 14:03 , 16-Май-22, (99) Я буду рефрешить каменты до написания ответа Я буду рефрешить каменты до напис, Аноним (-), 22:33 , 16-Май-22, (118) Вот вам и вирусы на венде и ондроит , Аноним (8), 09:45 , 15-Май-22, (8) +2 // дак автор рара виндузятнеГ, вои и накосячил со слешами , Аноним (18), 10:40 , 15-Май-22, (18) // а под android не накосячил опять эксперт опеннета, васёк (?), 11:42 , 15-Май-22, (22) // И часто ты архивы распаковываешь на андроиде , Аноним (25), 12:22 , 15-Май-22, (28) Каждый день запаковываю и распаковываю 7z в Termux Очень удобно, брат что хара, Самый Лучший Гусь (?), 12:55 , 15-Май-22, (33) Чтож ты ы них пакуешь Игры по 200 гб наверно , microsoft (?), 18:23 , 15-Май-22, (59) А почему вы спрашиваете , Самый Лучший Гусь (?), 20:48 , 15-Май-22, (74) Может он тоже хочет попаковать, но не знает что А ты нам расскажешь и мы тоже н, Аноним (92), 11:12 , 16-Май-22, (92) Вам энтропии побольше или поменьше Если побольше, жмите dev urandom, если поме, Аноним (-), 22:34 , 16-Май-22, (119) unrar-ом , Аноним (121), 03:56 , 17-Май-22, (121) Под Android был феерический косяк при добавлении информации для восстановления п, Аноним (84), 00:40 , 16-Май-22, (84) по-моему, наоборот - было фичей, Аноним (14), 10:27 , 15-Май-22, (14) +1 Ебилдов не завезли, до сих пор прошлогодняя версия 9 10 файлов, скачиваемых из , Аноним (57), 10:28 , 15-Май-22, (15) –1 // Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в ra, RomanCh (ok), 12:22 , 15-Май-22, (27) +1 // Да так, различные опенсорсные и около того программы Походите по тому же гитхаб, Аноним (57), 12:51 , 15-Май-22, (31) –1 // На гитхабе для шиндошс всё зазиповано Для всех остальных тарболлы или точно так, Самый Лучший Гусь (?), 12:59 , 15-Май-22, (34) +2 Согласен, но почему-то так делают , Аноним (57), 13:00 , 15-Май-22, (35) Значит ответственные органы недорабатывают Думаю, это пройдёт , Самый Лучший Гусь (?), 13:15 , 15-Май-22, (38) Ответственные органы этому потакают Проснись, рар это и есть то самое 171 зам, Аноним (92), 11:13 , 16-Май-22, (93) Что-то у вас какой-то паршивый опенсорс По репам от васяна с варезом чтоли, где , Аноним (-), 15:51 , 15-Май-22, (53) Обычный, иного не завезли Стоит сказать спасибо, что вообще поставляют исходник, Аноним (57), 16:39 , 15-Май-22, (56) Это не их заслуга а недоработка майкрософта который еще не снес явных варезников, Аноним (-), 19:13 , 15-Май-22, (68) Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает Из инте, RomanCh (ok), 07:10 , 16-Май-22, (88) Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack вообще анриал , Аноним (57), 10:44 , 16-Май-22, (90) Рар только в варезе бывает проснись уже, пожалуйста , Аноним (92), 11:15 , 16-Май-22, (94) Не только в варезе где вы такой варез находите , но и в дистрибутивах всяких и, Аноним (57), 11:34 , 16-Май-22, (96) Вы печатаете много букав, вместо того, чтобы привести несколько примеров опенсо, RomanCh (ok), 14:30 , 16-Май-22, (100) Зачем Есть сомнения, что так и есть, или что Вон даже на опеннете рекламировал, Аноним (57), 15:05 , 16-Май-22, (106) Хммм у меня 10 10 файлов это zip и tar, выходит ты лжец , microsoft (?), 18:26 , 15-Май-22, (61) // Нет, выходит, ты глуповат, если экстраполируешь это таким образом , Аноним (57), 18:32 , 15-Май-22, (62) // Нет, microsoft (?), 22:06 , 15-Май-22, (77) Ну, на винде продвинутые школьники rar ставят, ладно Остальным это зачем , Аноним (20), 11:09 , 15-Май-22, (20) // В бухтерии rar любят На сайтах госорганов часто доки в нём выкладывают , YetAnotherOnanym (ok), 13:31 , 15-Май-22, (40) // в бухгалтерии по привычке из 90тых всем ставят winrar вот его и любят , Аноним (18), 00:10 , 16-Май-22, (83) В балгахтерии что админ поставит, то они и любят , Аноним (101), 14:44 , 16-Май-22, (103) +1 Зачем unrar если есть unar, который те же rar распаковывает , Аноним (21), 11:41 , 15-Май-22, (21) –1 // Зачем urar если есть unrar, который те же rar распаковывает , ИмяХ (?), 12:05 , 15-Май-22, (23) // unar даже чёрта лысого распаковывает, а не только rar Есть ещё bsdtar из libarc, Самый Лучший Гусь (?), 13:00 , 15-Май-22, (36) Для установки unrar надо приседать с включением репозиториев с проприетарью, тог, Аноним (21), 14:56 , 15-Май-22, (47) А какие версии распаковывает , Аноним (65), 18:49 , 15-Май-22, (65) // Судя по коду от 1 3 до 5, Аноним (115), 22:28 , 16-Май-22, (115) он gnustep за собой тащит, Аноним (87), 06:41 , 16-Май-22, (87) А WinRAR 6 12 почему не выпустили , zog (??), 12:27 , 15-Май-22, (29) +1 // Новость _внимательно_ прочитайте, Андрей (??), 12:52 , 15-Май-22, (32) // Ну вот ты мне невнимательному расскажи, почему rar и unrar обновились, а WinRA, zog (??), 13:10 , 15-Май-22, (37) // Да, ИмяХ (?), 16:16 , 15-Май-22, (55) Сейчас для тебя будет открыта страшная тайна WinRAR он только для Windows потом, Аноним (92), 11:19 , 16-Май-22, (95) Никогда бы не подумал что это уязвимость К тому же галочки есть во всяких xarch, Аноним (43), 13:50 , 15-Май-22, (42) –1 Это Рошал накосячил что-ли Формат Rar косячный и не нужный формат , Аноним (44), 14:11 , 15-Май-22, (44) –4 // Как узнать опенсорсника По частоте употребления словосочетания 171 не нужно , Аноним (54), 16:02 , 15-Май-22, (54) +1 // Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс , zog (??), 22:16 , 15-Май-22, (81) +1 // Защитник быдлокодера Рошала - два , Аноним (-), 17:34 , 16-Май-22, (108) А ты сам какой кодер , zog (??), 20:54 , 16-Май-22, (112) Защитник Рошала - раз , Аноним (-), 17:33 , 16-Май-22, (107) UT announcer Congratulations You are the winrar , InuYasha (??), 14:49 , 15-Май-22, (46) // Зато какая винрарная уязвимость, прямо по классике , Аноним (-), 22:13 , 15-Май-22, (80) В конце 90-х и начале 2000-х пользовал данный архиватор С появлением 7z забыл п, Интел (?), 21:29 , 15-Май-22, (75) +4 Только в одном случае если распаковывать такое в Desktop или соседних директо, Ivan_83 (ok), 21:57 , 15-Май-22, (76)   // Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот, Аноним (85), 01:28 , 16-Май-22, (85)   Вот тебе бабка и юрьевь день Как же так вышло, что легендарный русский программ, Аноним (123), 04:46 , 17-Май-22, (124) 1,2,3,5,7,8,14,15,20,21,29,42,44,46,75,76,124

Сообщения

[Сортировка по времени | RSS]

76. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."	+/–
Сообщение от Ivan_83 (ok), 15-Май-22, 21:57
> разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" Только в одном случае: если распаковывать такое в ~/Desktop или соседних директориях. +-1 уровень вложенности и .ssh/authorized_keys лягут мимо цели.
Ответить | Правка | Наверх | Cообщить модератору

	85. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."	+/–
	Сообщение от Аноним (85), 16-Май-22, 01:28
	Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот или иной уровень вложенности. И то, что ты процитировал, начиналось со слова "например".
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема