https://www.opennet.me/openforum/vsluhforumID3/126120.html В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/&#8249;plugin-id&#8250;/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56329<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#88 Mon, 13 Dec 2021 11:33:33 GMT А тут не в языке дело, а в специфике, связанной с окружением языка.<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#87 Mon, 13 Dec 2021 09:27:25 GMT Язык и данная проблема -- вещи ортогональные. А если говорить про культуру, то, мне кажется, на PHP как раз такие ошибки допускают чаще всего. Кстати, под Go, вроде был linter, который находил такие проблемы.<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#84 Mon, 13 Dec 2021 06:48:57 GMT BMC, вы хотели сказать.<br>Под power off я не shutdown подразумевал, а именно *power* *off*.<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#83 Mon, 13 Dec 2021 06:39:17 GMT процессор и южный мост продолжают работать даже в "выключенном" компьютере:<br>- man Intel AMT<br>- man BCM<br><br>invulnerability - это выдернуть шнур, выдавить стекло.<br><br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#81 Sun, 12 Dec 2021 20:09:26 GMT Прислал. Имени Бармина. У меня нет и не будет нигде использоваться графана от таких альтернативно-одаренных, которым ради статичной картинки с собственного движка скопированной - нужен - хромоног.<br><br>И, как видишь, я не ошибся.<br>А вот незадачливые коллеги взгромоздившие себе восьмую сами не зная зачем "паследнюю-паследнюю, патамуштанада" - в пятницу чегой-та прыгали и судорожно апгрейдились.<br><br>&gt; Ах, ну да, ты же только на опеннете можешь ляссы точить. <br><br>ты-то уже пять графан написал? Или нет, ты на такие мелочи не размениваешься, каждый день новый гугль пишешь?<br><br>А мне за каждой обезьянкой, не сумевшей в жопоскрипт (ага) лужицы подтирать - остатка жизни уже не хватит. Да и прожить ее хотелось бы совершенно иначе.<br><br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#80 Sun, 12 Dec 2021 20:04:56 GMT &gt; Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация <br>&gt; левых символов, нормализация, и 404 notfound или вообще 444.<br><br>Ну, или так. В любом случае, чтобы, после декодинга (однократного или до победного конца) никакие закодированные символы не распознавались (неважно, из-за отсутствия или из-за запрета им быть).<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#79 Sun, 12 Dec 2021 18:25:24 GMT &gt; А как зарубить ../ в том же nginx? Эти точечки никлому не упали<br><br>Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают "../" в URL.<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#78 Sun, 12 Dec 2021 18:13:13 GMT Сочувствую<br> https://www.opennet.me/openforum/vsluhforumID3/126120.html#77 Sun, 12 Dec 2021 17:19:20 GMT Ну это да, шутка юмора была такая.<br>Но суть та :D<br>