Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в Timeshift, позволяющая поднять свои привилегии ..."	+/–
Сообщение от opennews (?), 09-Мрт-20, 12:04
В приложении Timeshift выявлена уязвимость (CVE-2020-10174), позволяющая локальному пользователю выполнить код с правами root. Timeshift представляет собой систему резервного копирования, использующую  rsync с установкой жёстких ссылок или снапшоты Btrfs для реализации функциональности, похожей на System Restore в Windows и Time Machine в  macOS. Программа входит в репозитории многих дистрибутивов и применяется по умолчанию в PCLinuxOS  и Linux Mint. Уязвимость устранена в выпуске Timeshift 20.03... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52509
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Неуловимые Джо (?), 09-Мрт-20, 12:04	+6 +/–
Вот тебе раз! А мы думали, никто не догадается.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от VINRARUS (ok), 09-Мрт-20, 14:30	+/–
>Во время создания резервной копии программа создаёт каталог /tmp/timeshift, в котором создаётся подкаталог со случайным именем, содержащий shell-сценарий с командами, запускаемый с правами root. Кошмар, ну и колхоз. Харашо шо я пользуюсь snapper!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от Аноним (4), 09-Мрт-20, 14:33	+3 +/–
rsync хватит всем
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 09-Мрт-20, 14:35	+1 +/–
>snapper который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше про гуй для rsync
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5, #6

5. Сообщение от VINRARUS (ok), 09-Мрт-20, 14:39	+/–
>>snapper > который совсем о другом, ибо гуй для btrfs/lvm снапшотов, а сабж больше > про гуй для rsync Ибо для копания нада использовать лопату, а не молоток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

6. Сообщение от mikhailnov (ok), 09-Мрт-20, 16:13	–1 +/–
GUI для rsync - это grsync, а сабж далек от этого
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 09-Мрт-20, 16:36	+/–
Хорошее ПО. Очень много раз выручало
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9

8. Сообщение от Аноним (8), 09-Мрт-20, 20:04	+1 +/–
Выручало когда хотел в чужой системе привелегии повысить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от анонимуслинус (?), 09-Мрт-20, 21:20	+1 +/–
при этом оно забивает раздел в момент если эти снимки делаются раз в день)) даже при установке раз в месяц и то за несколько месяцев закроет весь системный раздел. если я просто буду копировать /etc и еще парочку мест и то дешевле обойдется.)) а так да удобный гуй.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от Аноним (-), 10-Мрт-20, 00:46	+3 +/–
Может у него грунт каменистый? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

11. Сообщение от VINRARUS (ok), 10-Мрт-20, 08:23	+/–
> Может у него грунт каменистый? :) Тогда от сажания картошки лучше отказаться ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (12), 10-Мрт-20, 12:11	+/–
>Атакующий может от своего имени создать каталог /tmp/timeshift, после чего отследить появление подкаталога и подменить этот подкаталог и файл в нём. прэлэээстно впрочем, вряд ли кто-то в своём уме ставит сабж на мишн-критикал системы и тем более сервера.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема