Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива"	+/–
Сообщение от opennews (??), 15-Май-22, 08:50
В утилите unrar  выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7.  Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57190
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 15-Май-22, 08:50	+15 +/–
Вечная уязвимость
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #48

2. Сообщение от васёк (?), 15-Май-22, 09:07	+7 +/–
ещё одна такая уязвимость - и ухожу на zip ! достали!!!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #41, #60, #97, #130

3. Сообщение от iPony129412 (?), 15-Май-22, 09:18	+1 +/–
Шо, опять?!
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от КО (?), 15-Май-22, 09:18	+5 +/–
Если у меня не выпадет *вайфу_name*, я установлю Ubuntu!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от ИмяХ (?), 15-Май-22, 09:29	–1 +/–
Опять виновата дырявая сишка
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #51

6. Сообщение от Аноним (6), 15-Май-22, 09:35	+3 +/–
Здесь не столько сишка сколько отсутствие мозгов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #39

7. Сообщение от a_kusb (ok), 15-Май-22, 09:44	+/–
А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #11, #52

8. Сообщение от Аноним (8), 15-Май-22, 09:45	+2 +/–
> Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows. Вот вам и вирусы на венде и ондроит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

9. Сообщение от ИмяХ (?), 15-Май-22, 09:47	–17 +/–
Это из начал но было так задумано. Этой фичу использовали многие инсталляторы. Только в мире швaбодного по это вдруг стало "уязвимостью"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #12, #50

10. Сообщение от ИмяХ (?), 15-Май-22, 09:48	+1 +/–
А что значит "нормальное" место? Написано же - насколько позволяют права пользователя, значит все нормально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #30

11. Сообщение от Аноним (11), 15-Май-22, 10:01	+7 +/–
Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяке. Хотя сейчас эту возможность придется удалять -- люди ее все-таки заметили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17

12. Сообщение от And (??), 15-Май-22, 10:06	+2 +/–
Программировать - это гораздо сложнее фронт-энда. Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #25, #91

14. Сообщение от Аноним (14), 15-Май-22, 10:27	+1 +/–
по-моему, наоборот - было фичей
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (57), 15-Май-22, 10:28	–1 +/–
Ебилдов не завезли, до сих пор прошлогодняя версия. 9/10 файлов, скачиваемых из интернета, в этом формате. Что ж.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #61

16. Сообщение от Аноним (1), 15-Май-22, 10:30	–2 +/–
Надо понимать у тебя мозгов больше чем у разработчиков rar?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #19

17. Сообщение от Аноним (1), 15-Май-22, 10:35	+/–
Любому эксперту с opennet 🐓 ясно что это бэкдор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

18. Сообщение от Аноним (18), 15-Май-22, 10:40	+/–
дак автор рара виндузятнеГ, вои и накосячил со слешами...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22

19. Сообщение от Бывалый смузихлёб (?), 15-Май-22, 10:46	+2 +/–
Если они настолько посредственно проверяют строки - то даже у начинающего проггера мозгов может оказаться сильно больше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #82

20. Сообщение от Аноним (20), 15-Май-22, 11:09	+/–
Ну, на винде продвинутые школьники rar ставят, ладно. Остальным это зачем?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

21. Сообщение от Аноним (21), 15-Май-22, 11:41	–1 +/–
Зачем unrar если есть unar, который те же rar распаковывает?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #65, #87

22. Сообщение от васёк (?), 15-Май-22, 11:42	+/–
а под android не накосячил ... опять эксперт опеннета
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #28, #84

23. Сообщение от ИмяХ (?), 15-Май-22, 12:05	+/–
Зачем urar если есть unrar, который те же rar распаковывает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #36, #47

25. Сообщение от Аноним (25), 15-Май-22, 12:19	+1 +/–
Это уже шутка недели не меньше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

26. Сообщение от Аноним (25), 15-Май-22, 12:21	+/–
Да кто таких уязвимостей только не было и в вебсерверах и черте лысом. Даже автор не считал это уязвимостью, а думал что фича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

27. Сообщение от RomanCh (ok), 15-Май-22, 12:22	+1 +/–
Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #31

28. Сообщение от Аноним (25), 15-Май-22, 12:22	+/–
И часто ты архивы распаковываешь на андроиде?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #33, #121

29. Сообщение от zog (??), 15-Май-22, 12:27	+1 +/–
А WinRAR 6.12 почему не выпустили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

30. Сообщение от a_kusb (ok), 15-Май-22, 12:44	+/–
> А что значит "нормальное" место? Написано же - насколько позволяют права пользователя, > значит все нормально. Кстати да, это удобно же.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

31. Сообщение от Аноним (57), 15-Май-22, 12:51	–1 +/–
> Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar? Да так, различные опенсорсные и около того программы. Походите по тому же гитхабу, посмотрите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #34, #53, #88

32. Сообщение от Андрей (??), 15-Май-22, 12:52	+/–
Новость _внимательно_ прочитайте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #37

33. Сообщение от Самый Лучший Гусь (?), 15-Май-22, 12:55	+/–
Каждый день запаковываю и распаковываю. 7z в Termux. Очень удобно, брат что характерно, жив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #59

34. Сообщение от Самый Лучший Гусь (?), 15-Май-22, 12:59	+2 +/–
На гитхабе для шиндошс всё зазиповано. Для всех остальных тарболлы или точно так же зазиповано. Проприетарный RAR в обществе подлинных ценителей свободного и открытого ПО — моветон. Вот как плевок в душу, честное слово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #35

35. Сообщение от Аноним (57), 15-Май-22, 13:00	+/–
Согласен, но почему-то так делают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #38

36. Сообщение от Самый Лучший Гусь (?), 15-Май-22, 13:00	+/–
unar даже чёрта лысого распаковывает, а не только rar. Есть ещё bsdtar из libarchive, тоже достаточно универсальный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

37. Сообщение от zog (??), 15-Май-22, 13:10	+/–
Ну вот ты мне "невнимательному" расскажи, почему rar и unrar обновились, а WinRAR нет. Там что какой-то другой код работы с директориями?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #55, #95

38. Сообщение от Самый Лучший Гусь (?), 15-Май-22, 13:15	+/–
Значит ответственные органы недорабатывают. Думаю, это пройдёт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #93

39. Сообщение от Аноним (39), 15-Май-22, 13:30	+1 +/–
> Здесь не столько сишка сколько отсутствие мозгов. Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #79

40. Сообщение от YetAnotherOnanym (ok), 15-Май-22, 13:31	+/–
В бухтерии rar любят. На сайтах госорганов часто доки в нём выкладывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #83, #103

41. Сообщение от Аноним (41), 15-Май-22, 13:32	+3 +/–
У zip другая проблема, хранит имена файлов не в юникоде => кракозябры при распаковке на другой платформе. Переходи на 7zip.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #43, #111

42. Сообщение от Аноним (43), 15-Май-22, 13:50	–1 +/–
Никогда бы не подумал что это уязвимость. К тому же галочки есть во всяких xarchiver с разрешением на перезапись.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (43), 15-Май-22, 14:00	+/–
7zip косячнее еще больше. В Генту даже новость приходила о том что стоит его выпмлить из системы.а то и вовсе будет депрекатед. Во Фряхе тоже если делать проверку на уязвимости,то 7zip показывает как бяку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #45, #58

44. Сообщение от Аноним (44), 15-Май-22, 14:11	–4 +/–
Это Рошал накосячил что-ли? Формат Rar косячный и не нужный формат.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54

45. Сообщение от Аноним (43), 15-Май-22, 14:19	+2 +/–
Я всех ввел в заблуждение,в самом деле речь про p7zip
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #49

46. Сообщение от InuYasha (??), 15-Май-22, 14:49	+/–
*UT announcer* Congratulations! You are the winrar!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #80

47. Сообщение от Аноним (21), 15-Май-22, 14:56	+/–
Для установки unrar надо приседать с включением репозиториев с проприетарью, тогда как unar в дефолтных почти везде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

48. Сообщение от Аноним (48), 15-Май-22, 15:16	+5 +/–
Другая классическая проблема: читаем один файл пишем в другой, но забываем проверить, а не один ли это файл. Или не забываем, проверяем, но по путям. Пути разные, а inode один, оказывается второй аргумент был симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user. И ещё миллион таких проблем. А как вишенка на торте - ToUToC для долгоиграющих программ. Проверили всё, всё нормально, начали работу, а файлы переместились (сторонней программой) после нашей проверки, но ещё в процессе работы программы, и приплыли. Короче, проверка аргументов команд, особенно если это пути файловой системы - это не так просто, как может показаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #69

49. Сообщение от Аноним (57), 15-Май-22, 15:24	+/–
Это единственный 7z, который там есть, версия 6 летней давности или около того. В том году исходники свежей версии утекли, да что-то никто не спешит подобрать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #101

50. Сообщение от Аноним (-), 15-Май-22, 15:43	+2 +/–
> Только в мире швaбодного по это вдруг стало "уязвимостью" Чисто поржать, RAR и UNRAR - не есть "свободное ПО". Как максимум на консольный unrar сорцы есть, но даже они ни разу не свободные, под левой квазипроприетарной лицензией. Но спасибо за testimonial, перенаправим его б-дским проприетариям :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #57

51. Сообщение от Аноним (-), 15-Май-22, 15:45	+/–
> Опять виновата дырявая сишка Вообще так можно на любом яп налететь, лишь бы с фс работать умел.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

52. Сообщение от Аноним (-), 15-Май-22, 15:49	+/–
> А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место? Потому что первое что прихожит кодеру в бошку это взять имя файла (и возможно кусок пути, если сохранено в архиве) - и записать это как есть. Но, как видим, на specially crafted content с этим есть довольно забавные нюансы. Когда это не архиватор из ФС сгенерил, а хитрозадый хакер в хидер прописал ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам. ЧСХ это не очень удачная семантика операций ФС, но во первых, она и легитимно используется, а во вторых - все ее варианты обхода заткнуть не так уж и просто. Можете посмотреть как например вебсервера так имеют, особенно новоделы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #64

53. Сообщение от Аноним (-), 15-Май-22, 15:51	+/–
> Да так, различные опенсорсные и около того программы. Что-то у вас какой-то паршивый опенсорс. > Походите по тому же гитхабу, посмотрите. По репам от васяна с варезом чтоли, где даже лицензия не прописана и какая-то домашка русского студня вывалена? Остальные раром так то не пользуются особо. Особенно опенсорсники.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #56

54. Сообщение от Аноним (54), 15-Май-22, 16:02	+1 +/–
Как узнать опенсорсника? По частоте употребления словосочетания «не нужно».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #81, #107

55. Сообщение от ИмяХ (?), 15-Май-22, 16:16	+/–
Да
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

56. Сообщение от Аноним (57), 15-Май-22, 16:39	+/–
Обычный, иного не завезли. Стоит сказать спасибо, что вообще поставляют исходники -- у некоторых на гитхабе только блобы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #68

57. Сообщение от Аноним (57), 15-Май-22, 17:58	–1 +/–
Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только люди, у которых есть альтернатива в виде качественного свободного ПО, жалуются. Что не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #70, #72

58. Сообщение от Аноним (58), 15-Май-22, 18:02	+/–
Что не так с версией 2016 года?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #86

59. Сообщение от microsoft (?), 15-Май-22, 18:23	+/–
Чтож ты ы них пакуешь? Игры по 200 гб наверно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #74

60. Сообщение от Cyber100 (ok), 15-Май-22, 18:23	+/–
только arj - только хардкор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #71

61. Сообщение от microsoft (?), 15-Май-22, 18:26	+/–
Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #62

62. Сообщение от Аноним (57), 15-Май-22, 18:32	+/–
> Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец. Нет, выходит, ты глуповат, если экстраполируешь это таким образом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #77

64. Сообщение от Аноним (48), 15-Май-22, 18:49	+/–
> ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам. Ага. Insufficient privilegies. А вот в ~/.bashrc уже писать можно. > все ее варианты обхода заткнуть не так уж и просто Вычислять настоящий путь аргументов и всегда работать только с настоящими путями? $ man realpath
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #66, #67

65. Сообщение от Аноним (65), 15-Май-22, 18:49	+/–
А какие версии распаковывает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #115

66. Сообщение от Аноним (48), 15-Май-22, 18:50	+/–
$ man 3 realpath
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

67. Сообщение от Аноним (-), 15-Май-22, 19:11	+/–
> Ага. Insufficient privilegies. Это смотря кто что и куда распаковывал/записывал и какие у него права были. > А вот в ~/.bashrc уже писать можно. Да много куда и чего можно. Вопрос фантазии. > Вычислять настоящий путь аргументов и всегда работать только с настоящими путями? А вот это уже не первое что кодерам в голову приходит. Есть еще способ - можно зарубать последовательности вида ../ в путях из хидеров и отказываться это декомпрессить: при легитимном использовании архивера таких вещей в хидере архива быть просто не должно и их наличие довольно надежный индикатор того что это попытка поиметь а не что-нибудь еще. > $ man realpath Так это вроде отдельная прога, толку с нее в архиваторе...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #99

68. Сообщение от Аноним (-), 15-Май-22, 19:13	+/–
> у некоторых на гитхабе только блобы. Это не их заслуга а недоработка майкрософта который еще не снес явных варезников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

69. Сообщение от Аноним (-), 15-Май-22, 19:16	+2 +/–
> по путям. Пути разные, а inode один, оказывается второй аргумент был > симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user. В архиве это не должно требовать интерпретации: архивер должен класть в хидеры путь "как есть". Поэтому там нет ни ~ как референса на home (это сугубо фича шелла) ни ../../ т.к. это вообще не является легитимной иерархией которую можно найти в ФС и именно так записать ее содержимое в хидер. Однако шаловливыми ручками такой хидер архива можно скроить - и если анпакер не проверит этот момент, жестко налетит на распаковке чего-то не того и не туда, при ничего не подозревающем юзере.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #73

70. Сообщение от Аноним (70), 15-Май-22, 19:22	+/–
> Он же сказал о том, что они всю жизнь таким обмазывались и > просили ещё, и только люди, у которых есть альтернатива в виде > качественного свободного ПО, жалуются. Что не так? Мне кажется, он не это имел в виду, но получилось прикольно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

71. Сообщение от CAE (ok), 15-Май-22, 19:22	+/–
arc - выбор профессионала. Ну или lharc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

72. Сообщение от Гыгыгы (?), 15-Май-22, 19:24	–4 +/–
Про качество он не говорил. Как правило, закрытое ПО качественнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #78

73. Сообщение от Аноним (-), 15-Май-22, 19:25	+1 +/–
p.s. это все кстати позволяет ряд приколов уровня ФС. Файл с именем ~ ничему не противоречит, но фаны шелла будут иногда делить на ноль. Блин, в имени файла можно даже 0x0d и 0x0a использовать - и в этом месте те кто пытаются обрабатывать имена файлов как текст могут скушать еще дюжину вулнов. В именах файлов разрешено использовать все кроме NULL (0x00) и '/'. Все остальные значения являются допустимыми. Что и позволяет всякие utf8 имена например без особой переделки софта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #98

74. Сообщение от Самый Лучший Гусь (?), 15-Май-22, 20:48	+/–
> Чтож ты ы них пакуешь? Игры по 200 гб наверно. А почему вы спрашиваете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #92

75. Сообщение от Интел (?), 15-Май-22, 21:29	+4 +/–
В конце 90-х и начале 2000-х пользовал данный архиватор. С появлением 7z забыл про всё остальное как страшный сон.
Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Ivan_83 (ok), 15-Май-22, 21:57	+/–
> разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" Только в одном случае: если распаковывать такое в ~/Desktop или соседних директориях. +-1 уровень вложенности и .ssh/authorized_keys лягут мимо цели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #85

77. Сообщение от microsoft (?), 15-Май-22, 22:06	+/–
Нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

78. Сообщение от Аноним (-), 15-Май-22, 22:10	–2 +/–
Мне наприме опенсорсный линукс как-то сильно больше винды нравится. Особенно ядро. Там народу вот реально нравится делать клевую штуку, с душой фигарят. В отличие от унылых безымянных ботов из майкрософта. Поэтому когда я натыкался на те или иные системные траблы, мы их сообща гасили. И занимало это ну может самый край пару дней. После чего у меня система еще лучше чем раньше и я могу ее прикручивать дальше к моим (и кастомерским) задачам. А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал. И в этом месте я готов поспорить о качестве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #105, #110

79. Сообщение от Аноним (-), 15-Май-22, 22:11	+/–
Ты питонист из соседней новости чтоли? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #102

80. Сообщение от Аноним (-), 15-Май-22, 22:13	+/–
Зато какая винрарная уязвимость, прямо по классике :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

81. Сообщение от zog (??), 15-Май-22, 22:16	+1 +/–
Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #108

82. Сообщение от Аноним (-), 15-Май-22, 22:35	+1 +/–
> Если они настолько посредственно проверяют строки - то даже у начинающего проггера > мозгов может оказаться сильно больше Начинаюший прогер про прикол ../../ вообще обычно не в курсе. На то и начинающий. А вот когда про него не в курсе матерый волк - это уже какой-то позор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

83. Сообщение от Аноним (18), 16-Май-22, 00:10	+/–
в бухгалтерии по привычке из 90тых всем ставят winrar вот его и "любят"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

84. Сообщение от Аноним (84), 16-Май-22, 00:40	+/–
Под Android был феерический косяк при добавлении информации для восстановления при создании старого(4.00) типа .rar архивов...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

85. Сообщение от Аноним (85), 16-Май-22, 01:28	+/–
Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот или иной уровень вложенности. И то, что ты процитировал, начиналось со слова "например".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

86. Сообщение от qetuo (?), 16-Май-22, 04:57	+/–
Да, она из 2016 года.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

87. Сообщение от Аноним (87), 16-Май-22, 06:41	+/–
он gnustep за собой тащит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

88. Сообщение от RomanCh (ok), 16-Май-22, 07:10	+/–
Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает. Из интернета чаще всего качается в формате *.deb, иногда *.tar.*z, ну или git clone. Отсюда и возник вопрос - что же это вы такое делаете - можете парочку примеров "опенсорсных и около того" программ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #90

90. Сообщение от Аноним (57), 16-Май-22, 10:44	+/–
Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack (вообще анриал), ни compress, и я видел многие миллиарды файлов. И чтобы такие файлы были где-то в интернете? Да ARJ встречается чаще! И LHA. При этом, я не стану сомневаться, что у кого-то они используются (если учиться по доисторическим гайдам, и не такое возможно). Но, в интернете?! А рар -- это достаточно классически для вендузятников, т.е. надо смотреть современный софт на жс или электроне, в "релизах" будут эти архивы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #94, #100

91. Сообщение от Массоны Рептилоиды (?), 16-Май-22, 10:53	+1 +/–
> Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать Да ну, бред какой-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

92. Сообщение от Аноним (92), 16-Май-22, 11:12	+/–
Может он тоже хочет попаковать, но не знает что. А ты нам расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем ты там занимаешься с архивами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #119

93. Сообщение от Аноним (92), 16-Май-22, 11:13	+/–
Ответственные органы этому потакают. Проснись, рар это и есть то самое «замещение»
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

94. Сообщение от Аноним (92), 16-Май-22, 11:15	+/–
Рар только в варезе бывает проснись уже, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #96

95. Сообщение от Аноним (92), 16-Май-22, 11:19	+/–
Сейчас для тебя будет открыта страшная тайна. WinRAR он только для Windows потому что он Win!!!! Для Линукс unrar это официальная поставка с сайта производителя и её обновили потому что сабжевая фича только для Линукса работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

96. Сообщение от Аноним (57), 16-Май-22, 11:34	+/–
> Рар только в варезе бывает проснись уже, пожалуйста. Не только в варезе (где вы такой варез находите?), но и в дистрибутивах всяких интересных программ. У меня даже есть предположение, почему. Всевозможные сканеры этот формат не распаковывали, следовательно, узнать, что в архиве, они не могли. Какая разница? Исходники есть? Есть! А сам формат прекрасный, встроенное парити это довольно полезно. Идея сжимать файлы подходящими типу файла алгоритмами тоже норм. Вот только ни по степени сжатия, ни по скорости, преимуществ перед 7z не имеет. У 7z даже получше с дедупликацией будет (при достаточном размере окна). Может, извлечение только местами пошустрее у rar (сжатие некоторых файлов в архиве будет слабое или отсутствующее).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

97. Сообщение от Аноним (97), 16-Май-22, 11:42	+/–
не надо доверять чужому коду! переходи на RLE! пишется за полчаса)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #114

98. Сообщение от PnD (??), 16-Май-22, 11:42	+/–
Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит. А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат. Ещё вариант — сконструировать имя по аналогии с "sql injection" всякими. * Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл весёлый атрибут. ** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #116

99. Сообщение от Аноним (99), 16-Май-22, 14:03	+/–
Есть прога (можно использовать в shell), а есть функция из glibc: > char *realpath(const char *restrict path, char *restrict resolved_path); Я потому и добавил тройку к ману.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #118

100. Сообщение от RomanCh (ok), 16-Май-22, 14:30	+/–
Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и около того программ". Это же не сложно, правда? Хочу расширить кругозор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #106

101. Сообщение от Аноним (101), 16-Май-22, 14:33	+/–
Чего исходникам там утекать? Они и так под LGPL. Недавно эталонный 7zip стал официально поддерживать Linux.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #104

102. Сообщение от Аноним (101), 16-Май-22, 14:36	+/–
Растолиз
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #79

103. Сообщение от Аноним (101), 16-Май-22, 14:44	+1 +/–
В "балгахтерии" что админ поставит, то они и любят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

104. Сообщение от Аноним (57), 16-Май-22, 14:53	+/–
Там суть в том, что автор зажал исходники актуальных версий, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

105. Сообщение от Аноним (105), 16-Май-22, 15:00	+/–
А погасите трабл с ускорением видео в браузерах. Можно не за пару дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #113, #123

106. Сообщение от Аноним (57), 16-Май-22, 15:05	+/–
> Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и > около того программ". Это же не сложно, правда? Хочу расширить кругозор. Зачем? Есть сомнения, что так и есть, или что? Вон даже на опеннете рекламировали проекты с таким гитхабом, только за последний год несколько раз видел. Ну а то что проект опенсорс, не означает, что он лицензионно чист, поэтому претензий на тему вареза тоже не понимаю, для удобства пользователей могут и положить требуемые файлы рядом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

107. Сообщение от Аноним (-), 16-Май-22, 17:33	+/–
Защитник Рошала - раз!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

108. Сообщение от Аноним (-), 16-Май-22, 17:34	+/–
Защитник быдлокодера Рошала - два!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #112

110. Сообщение от Гыгыгы (?), 16-Май-22, 19:40	+2 +/–
А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе. И никакие форумы не помогли. >А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал Так его там ещё поискать надо. Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да. А так не вижу проблем, хотя под линухом их вижу. >И в этом месте я готов поспорить о качестве. А в чём тут спорить? Ваше УМВР не решит моих проблем с линухом, как и мой УМВР — ваших проблем с виндой. Но в целом закрытое ПО — качественнее. Специализированные приложения тому хороший пример.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #120

111. Сообщение от Аноним (111), 16-Май-22, 20:39	+/–
unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенной в винду реализацией, которая его не использует
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #128

112. Сообщение от zog (??), 16-Май-22, 20:54	+/–
А ты сам какой кодер?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

113. Сообщение от Аноним (-), 16-Май-22, 22:19	–1 +/–
> А погасите трабл с ускорением видео в браузерах. Можно не за пару > дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить. Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно подумать. Но это лучше более тематическим личностям предлагать, и не тут. А чисто по юзерски - ютуб в линухе у меня и так неплохо пашет, а если смотреть что-то крупнее ролика на 5 минут, я это в нормальном плеере смотрю, он лучше браузера по всем параметрам. Это намек что я не брошу текущие проекты нашару покодить кому-то фичу во имя луны. p.s. в кернеле и либах так то для этого все есть, вопрос к тем или иным браузерописакам почему они вон то еще не прикрутили. Некоторые вроде даже прикрутили, я не очень следил т.к. меня особ не парит. Не основной юзкейс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #126, #129

114. Сообщение от Аноним (-), 16-Май-22, 22:27	+/–
а если файл извне пришел в руре ? так то да, любой дурак может, а ты обнови унрур
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

115. Сообщение от Аноним (115), 16-Май-22, 22:28	+/–
Судя по коду от 1.3 до 5
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

116. Сообщение от Аноним (-), 16-Май-22, 22:29	+/–
> Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит. Попытка создать такой файл скорее всего обломается - такой файл уже есть, техническая сущность ФС. > А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат. Да, это тоже может доставить. Еще можно использовать ? > и | в именах. Например, "echo trololo > file" является валидным именем файла так то. Хочется затроллить юзеров винды? "C:\windows.suxx" сойдет (это именно имя файла, без субдир). А теперь удачи в винде его такой вообще распаковать. Хотя интереснее положить в архиве что-то типа C:\con\con и тому подобные. Раньше это даже вело к весьма злым спецэффектам, вплоть до бсодов. > * Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл > весёлый атрибут. Я иногда так развлекаюсь. Проги решительно не одупляют почему файл не удается стереть и перезаписать хотя права есть, все такое. > ** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии". Как оказалось - даже матерый кодер иногда ухитряется откушать на этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

118. Сообщение от Аноним (-), 16-Май-22, 22:33	+/–
> Я потому и добавил тройку к ману. "Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа...."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

119. Сообщение от Аноним (-), 16-Май-22, 22:34	+/–
> Может он тоже хочет попаковать, но не знает что. А ты нам > расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем > ты там занимаешься с архивами. Вам энтропии побольше или поменьше? Если побольше, жмите /dev/urandom, если поменьше, /dev/zero.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

120. Сообщение от Аноним (-), 17-Май-22, 02:36	+/–
> А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе. > И никакие форумы не помогли. Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды. > Так его там ещё поискать надо. Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?! В линуксе оно как-то меньше проблем мне создавало. Так по жизни. А если создает - там хоть диагностика обычно какая-то есть. И более-менее понятно кого пинать. При том это все же обычно живые люди а не боты в первой линии сапорта, дающие стандартные инструкции по очистке мышки и похрен что у меня крахдамп есть. > Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да. А еще старые GPU только как "VGA адаптер" в чем-то типа висты и новее взлетают. В линуксе они поддерживаются куда приличнее, во всяком случае, видео на ютубе без слайдшоу посмотреть можно, в отличие от винды. > А так не вижу проблем, хотя под линухом их вижу. Кому как. > А в чём тут спорить? Ваше УМВР не решит моих проблем с > линухом, как и мой УМВР — ваших проблем с виндой. > Но в целом закрытое ПО — качественнее. Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал". > Специализированные приложения тому хороший пример. Очень сильно нишевые. Но так то и в Linux есть специализированные случаи когда винды в пролете. Блин, вы вообще винду на большей части ARMовских одноплатников не загрузите. А даже если и загрузите, это и бессмысленно и дров для большей части железок нет. А, ну да, специализированный кейс. А чем мой кейс хуже вашего?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #127

121. Сообщение от Аноним (121), 17-Май-22, 03:56	+/–
unrar-ом...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

123. Сообщение от Аноним (123), 17-Май-22, 04:39	+/–
Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе. У тебя там калькулятор что ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #125

124. Сообщение от Аноним (123), 17-Май-22, 04:46	+/–
Вот тебе бабка и юрьевь день. Как же так вышло, что легендарный русский программист на единственно верном языке и такую лажу написал?
Ответить | Правка | Наверх | Cообщить модератору

125. Сообщение от Аноним (126), 17-Май-22, 05:19	+1 +/–
Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров и не сжирая батарею на глазах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #123

126. Сообщение от Аноним (126), 17-Май-22, 05:25	+1 +/–
Ну вот так всегда: как доходит до дела, так сложна/нинужна/УМВР и так далее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

127. Сообщение от Гыгыгы (?), 17-Май-22, 06:06	+/–
>Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды. Я и говорю — УМВР. А вот уменя не сложилось. >Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?! А тут будет УМВР с моей стороны. >Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал". Какой там «для себя»? Откуда этот бред берётся? Линух пилят корпорации, как им нужно. А то ПО, что делают «для себя» иногда забрасывают и тогда начинается веселье. >А чем мой кейс хуже вашего? Тем что статистика опять на моей стороне. Захватив мир роутеров,серверов и телефонов на настольных системах линух соcёт, как и 20 лет назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

128. Сообщение от www2 (??), 17-Май-22, 09:40	+/–
А флаг для CP1251 есть? А для CP866? А для KOI-8R?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

129. Сообщение от Neon (??), 24-Май-22, 17:18	+/–
> Если вас не обломает проплатить 2 года фултайм кодинга Т.е. интузиасты любители своего дела без проплаты никак ? А как распинались про сообщество, как оно дружно гасит баги.))) А на деле все то же самое, что и на проприетарных галерах. Презренные гроши давай. Лицемеры
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

130. Сообщение от Neon (??), 24-Май-22, 17:20	+/–
Это не уязвимость в unrar, а фича. Вполне полезная
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема