Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от opennews (??) on 30-Янв-17, 18:22 | ||
В недавно вышедшей (https://www.opennet.dev/opennews/art.shtml?num=45880) версии GNU screen 4.5.0 обнаружена (https://lists.gnu.org/archive/html/screen-devel/2017-01/msg0...) уязвимость (CVE-2017-5618 (https://security-tracker.debian.org/tracker/CVE-2017-5618)), позволяющая переписать произвольными данными или создать файл с привилегиями root, в случае установки screen с флагом suid root. В большинстве дистрибутивов, например в Debian, Ubuntu, RHEL/CentOS (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2017-5618), SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2017-5618), утилита screen не имеет (https://lists.gnu.org/archive/html/screen-devel/2017-01/msg0...) бита setuid, однако имеет setgid для группы utmp. Это уменьшает опасность, однако оставляет возможность перезаписи файлов /var/log/{btmp,wtmp,lastlog}*. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от Аноним (??) on 30-Янв-17, 18:22 | ||
Это верно вообще для любой утилиты, принадлежащей root, установленной с suid-битом и имеющей возможность писать в файл. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Уязвимость в GNU Screen 4.5.0" | +9 +/– | |
Сообщение от Аноним (??) on 30-Янв-17, 18:31 | ||
Не не верно, так как такие утилиты пишут в файл после сброса привилегий. В screen жутко накосячили вставили проверку открытия файла на запись через fopen(screenlogfile, "w") на этапе разбора опций до сброса привилегий. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
3. "Уязвимость в GNU Screen 4.5.0" | –9 +/– | |
Сообщение от Аноним (??) on 30-Янв-17, 18:44 | ||
Tmux? Tmux! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Уязвимость в GNU Screen 4.5.0" | –1 +/– | |
Сообщение от Аноним (??) on 30-Янв-17, 19:50 | ||
он уже научился bce? | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
9. "Уязвимость в GNU Screen 4.5.0" | +6 +/– | |
Сообщение от rshadow (ok) on 30-Янв-17, 21:45 | ||
Я еще могу понять фанатов и холивары linux vs macos vs windows. Но фанаты и холивары tmux vs screen это реально кому-то делать нех***й. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
16. "Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от A.Stahl (ok) on 31-Янв-17, 08:58 | ||
Чем холивар tmux vs screen хуже холивара, скажем, vim vs. emacs? | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
24. "Уязвимость в GNU Screen 4.5.0" | +1 +/– | |
Сообщение от Аноним (??) on 31-Янв-17, 19:21 | ||
> Чем холивар tmux vs screen хуже холивара, скажем, vim vs. emacs? | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
7. "Уязвимость в GNU Screen 4.5.0" | –4 +/– | |
Сообщение от Аноним (??) on 30-Янв-17, 20:13 | ||
Вот поэтому только Tmux. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "Уязвимость в GNU Screen 4.5.0" | –8 +/– | |
Сообщение от Michael Shigorin (ok) on 31-Янв-17, 01:37 | ||
$ rpm -q screen | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
13. "Уязвимость в GNU Screen 4.5.0" | +2 +/– | |
Сообщение от Crazy Alex (ok) on 31-Янв-17, 02:02 | ||
В Deabian Stable и то 4.2 | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
15. "Уязвимость в GNU Screen 4.5.0" | +4 +/– | |
Сообщение от Аноним (??) on 31-Янв-17, 08:35 | ||
У Мишико они святой водой спрыснутые. | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
18. "Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от Аноним (??) on 31-Янв-17, 10:45 | ||
Нет, это форк - HolyScreen. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
17. "Уязвимость в GNU Screen 4.5.0" | +3 +/– | |
Сообщение от Andrey Mitrofanov on 31-Янв-17, 09:40 | ||
> $ rpm -q screen | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
19. "Уязвимость в GNU Screen 4.5.0" | –2 +/– | |
Сообщение от Аноним (??) on 31-Янв-17, 12:34 | ||
Кто о чем, а шигорин о своем альте. И как всегда не по теме. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
21. "Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от Sluggard (ok) on 31-Янв-17, 13:06 | ||
> $ rpm -q screen | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
25. "Уязвимость в GNU Screen 4.5.0" | +/– | |
Сообщение от SysA on 01-Фев-17, 11:25 | ||
> $ rpm -q screen | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
20. "Уязвимость в GNU Screen 4.5.0" | +1 +/– | |
Сообщение от Аноним (??) on 31-Янв-17, 12:45 | ||
И только гентушники могут глобально забить на suid: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |