OpenForum RSS: Уязвимость в пакетном менеджере pacman, позволяющая выполнит... https://opennet.me/openforum/vsluhforumID3/116813.html В пакетном менеджере pacman, применяемом в дистрибутиве Arch Linux, выявлена (https://security.archlinux.org/ASA-201903-7) уязвимость (CVE-2019-9686 (https://security.archlinux.org/CVE-2019-9686)), позволяющая добиться выполнения кода с правами root в момент установки пакета, в случае контроля атакующим за за зеркалом репозитория или транзитным трафиком жертвы (например, при подключении пользователя через сетевой шлюз, VPN или беспроводную точку доступа, подконтрольные атакующему). Проблема устранена в обновлении pacman 5.1.3-1 (https://security.archlinux.org/package/pacman).<br><br><br><br>Уязвимость напоминает недавно выявленную проблему (https://www.opennet.ru/opennews/art.shtml?num=50007) в пакетном менеджере APT и также связана с возможностью подмены определённых полей в HTTP-ответах. В Arch Linux, как и большинстве других дистрибутивов, обращение к репозиториям может осуществляться (https://www.archlinux.org/mirrorlist/all/http/) по HTTP без шифрования трафика, но с применением верификация целостности и источник Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (AnonPlus) https://opennet.me/openforum/vsluhforumID3/116813.html#46 Tue, 26 Mar 2019 17:53:18 GMT А вот я помню, что прямо тут на опеннете кто-то кричал, что люди, переводящие репозитории на HTTPS, делают вредное и ненужное дело, там же пакеты проверяются по цифровой подписи, а HTTPS создаёт накладные расходы.<br><br>Где же теперь эти крикуны?<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (граммарнаци) https://opennet.me/openforum/vsluhforumID3/116813.html#45 Thu, 14 Mar 2019 03:43:16 GMT В таком случае это проблема не менеджера пакетов, а тулкита для сборки пакетов<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (X4asd) https://opennet.me/openforum/vsluhforumID3/116813.html#44 Wed, 13 Mar 2019 19:06:31 GMT в нём и ошибка<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (Аноним) https://opennet.me/openforum/vsluhforumID3/116813.html#42 Wed, 13 Mar 2019 17:14:26 GMT &gt; Не знаю. Придумай сам, сам же оспорь придуманное. У тебя это очень неплохо получается ))<br><br>о, пошли отмазки, пока не очень, но старайся<br><br>&gt; Да не, я лишь чутка поднабросил, приравняв мамкиных какиров и арчеводов.<br><br>молодец, и ? ты хотел кого-то этим унизить ?<br><br>&gt; А подгорело, да еще нехило, почему-то у тебя. Интересно почему?<br><br>странно, я ж вроде никого и нигде не защищал, а только обратил внимания на твою скрытую арчефилию<br><br>&gt; Самое интересное, что записался ты туда сам, ринувшись на защиту арчика.<br><br>линукс упаси, я лишь указал на то что уязвимость сама по себе не имеет значения если не скомпрометирован узел и ли сеть доставки что для "мамкиных хакеров"(тока не напрягайся опять) вряд ли будет по зубам, а ты тут решил подбросить, набросить, накатить и поведать нам между строк что у тебя травма из за того что арчеводы хвастаются своим большим АУРом<br><br>&gt; Т.е. как обычно - когда по теме сказать нечего, арчевод скатывается в ad-hominem. Почти сочувствую.<br><br>кто бы говорил ) ты Ленина с бревном случайно не вид Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (Аноним) https://opennet.me/openforum/vsluhforumID3/116813.html#41 Wed, 13 Mar 2019 17:11:25 GMT &gt;Пакетный менеджер pacman использует передаваемое в заголовке "Content-Disposition" значение для переименования полученного файла без должной проверки его корректности и без вырезания символов "../" из файлового пути.<br><br>Это должно быть заботой HTTP-клиента<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (анонн) https://opennet.me/openforum/vsluhforumID3/116813.html#39 Wed, 13 Mar 2019 16:42:24 GMT &gt; опять ты за свое ? кому и в чем мне нужно возразить <br><br>Не знаю. Придумай сам, сам же оспорь придуманное. У тебя это очень неплохо получается ))<br>&gt; ? да и главное зачем ? ты же все го лишь <br>&gt; подорвался на словах о "мамкиных хакерах", хотя оно и не относилось <br>&gt; конкретно к тебе, но ты решил нам тут доказать что "мамкины <br>&gt; хакеры" это арчеводы и начал их тут гнобить, попутно записав меня в их ряды <br><br>Да не, я лишь чутка поднабросил, приравняв мамкиных какиров и арчеводов. <br>А подгорело, да еще нехило, почему-то у тебя. Интересно почему?<br>&gt; попутно записав меня в их ряды<br><br>Самое интересное, что записался ты туда сам, ринувшись на защиту арчика.<br><br>&gt;&gt; Бегать по смежным форумам и рассказывать всем подряд о крутизне арча с его ого-го каким большим АУРом ("у нас в арче самый большой набор софта, завидуйте все! во!" (с) by archeod vulgaris) - прерогатива арчеводов...<br>&gt; ого, как оно у тебя все запущенно, то есть весь твой булшит можно сказать детская травма полученная на одном из форумов посвященных арчу, сочу Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (анонн) https://opennet.me/openforum/vsluhforumID3/116813.html#38 Wed, 13 Mar 2019 16:35:49 GMT &gt; Ждём аналоги в pkg, да в emerge. Поискать чтоль.<br><br>дарю:<br>[code]<br>pkg add [-IAfMq] &lt;protocol&gt;://&lt;path&gt;/&lt;pkg-name&gt; ...<br>Currently supported protocols are FTP, HTTP and HTTPS.<br>[/code]<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (Аноним) https://opennet.me/openforum/vsluhforumID3/116813.html#37 Wed, 13 Mar 2019 16:27:49 GMT часть нити восстановлена Aнонимом<br><br>// админ имей совесть, я тут обиженного лечу<br>...<br><br>&gt; Нет, это ты только что сам себе придумал.<br><br>как скажешь, пациент всегда прав<br><br>&gt; То есть, как и предполагалось, "за арчик обидно, а возразить-то и нечего". Понятно.<br><br>опять ты за свое ? кому и в чем мне нужно возразить ? да и главное зачем ? ты же все го лишь подорвался на словах о "мамкиных хакерах", хотя оно и не относилось конкретно к тебе, но ты решил нам тут доказать что "мамкины хакеры" это арчеводы и начал их тут гнобить, попутно записав меня в их ряды<br><br>&gt; Бегать по смежным форумам и рассказывать всем подряд о крутизне арча с его ого-го каким большим АУРом ("у нас в арче самый большой набор софта, завидуйте все! во!" (с) by archeod vulgaris) - прерогатива арчеводов...<br><br>ого, как оно у тебя все запущенно, то есть весь твой булшит можно сказать детская травма полученная на одном из форумов посвященных арчу, сочувствую<br> Уязвимость в пакетном менеджере pacman, позволяющая выполнит... (Anonimus) https://opennet.me/openforum/vsluhforumID3/116813.html#36 Wed, 13 Mar 2019 16:23:35 GMT Смотри, есть дистрибутив для которого делаются пакеты, есть майнтейнер который собирает и тестирует эти пакеты, есть тестирование снепшотов дистрибутивов, когда тестируется набор пакетов в дистрибутиве перед релизом (несколько стадий) и только потом релиз. Сами зависимости в большинстве случаев редко меняются и если поменялись, то тестирование - это быстро показывает.<br>Но с другой стороны чем проще инструмент - тем сложнее прострелить ногу. Что делать если инструмент некорректно выпарсил - этот список? Искать проблему в стороннем инструменте сложнее чем после себя.<br>