Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"	+/–
Сообщение от opennews (??), 05-Дек-22, 11:44
Несколько недавно выявленных  уязвимостей:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58264
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 05-Дек-22, 11:44	–1 +/–
>Apache Fineract Неудачное название. Звучит как гибрид Fine Reader с Tesseract OCR.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #11

2. Сообщение от Жироватт (ok), 05-Дек-22, 11:55	+2 +/–
А может так и задумывалось? LibreWord, apachings, russt++...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 05-Дек-22, 11:56	+1 +/–
Опенсорс не может в удачные названия
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5

4. Сообщение от Аноним (4), 05-Дек-22, 11:59	+1 +/–
В vim'e ничего не выявлено?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #9

5. Сообщение от Илья (??), 05-Дек-22, 12:00	–1 +/–
Чего только стоят названия программ ддя Ubuntu Touch) u[вставить че программа делает]
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

6. Сообщение от Илья (??), 05-Дек-22, 12:00	+17 +/–
Выход вроде выявлен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #7, #10

7. Сообщение от Аноним (7), 05-Дек-22, 12:03	–2 +/–
Туда многие и войти то не осилили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от Жироватт (ok), 05-Дек-22, 12:04	+9 +/–
У, UTOUCH май та-ла-ла, Ю, ай дин-дин-донг
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

9. Сообщение от Вирт (?), 05-Дек-22, 12:09	+1 +/–
По идее та же уязвимость с ctags что и у emacs в vim тоже должна работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

10. Сообщение от Аноним (10), 05-Дек-22, 12:11	+2 +/–
Значит, это уязвимость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

11. Сообщение от Аноним (11), 05-Дек-22, 12:12	+1 +/–
нормальное название, fin - от слова финансы, eract - произносится как эрэкт, ну ты понял. Типа управляешь у себя такими финансами, что ты аж непроизвольно eract.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #21

12. Сообщение от fuggy (ok), 05-Дек-22, 12:17	+4 +/–
Большинство таких ошибок из-за того что пользователи запускают файлы из непроверенного источника не глядя. Тем более когда приложение этому способствует и открывает >".ipynb" без дополнительных подтверждений в режиме "isTrusted" Понятно что сложно и долго проверять глазами большие файлы, но это не знаю что можно брать из любого источника и запускать. Вы же не запускаете исполняемые файлы скачанные из левого источника, не проверить хотя бы антивирусом или не сверив подпись и контрольную сумму. Не запускаете скрипты под рабочим пользователем. Это тоже самое что скачать скрипт с rm -rf, а потом жаловаться что терминал его запустил. >Проблема вызвана отсутствием должного экранирования символов ".." в путях Проблема есть в каждой второй программе. И почему-то единого решения способа обработки ".." не изобрели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #15

13. Сообщение от Аноним (3), 05-Дек-22, 12:31	+2 +/–
Так называемые веб-программисты какают исходниками из непроверенного источника и запускат. Им даже не приходит в голову мысль качать исходники из проверенного источника
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #14, #16, #29

14. Сообщение от Без аргументов (?), 05-Дек-22, 12:51	+/–
например, вот: что хотят, то и суют в скрипт пост-установки (20млн скачиваний в неделю): https://github.com/medikoo/es5-ext/blob/main/_postinstall.js а еще интереснее глянуть в контрибьютеров
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #23, #26

15. Сообщение от Аноним (15), 05-Дек-22, 12:52	+3 +/–
Какое замечательное перекладывание с больной головы на здоровую. Программа падает при открытии файла? Ну так не открывайте этот файл, это не программа плохая, это файл плохой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (3), 05-Дек-22, 13:20	+/–
*Качают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (17), 05-Дек-22, 13:23	+/–
Но не работает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #30

20. Сообщение от Аноним (21), 05-Дек-22, 14:58	–1 +/–
Так это разве уязвимости. Это хипстер-фичи.
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 05-Дек-22, 14:58	+1 +/–
Fine rect
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #32

22. Сообщение от Аноним (22), 05-Дек-22, 15:46	+/–
"Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:")." во блин, а почему не спрашивает "вы доверяете файлам в этой папке" как при открытии других файлов? хм
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-22, 16:53	+1 +/–
Самое забавное, что они думают, что это что-то изменит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

26. Сообщение от Аноним (3), 05-Дек-22, 18:37	+/–
Хотя бы файлы с диска не удаляет и то хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #28

27. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-22, 20:12	+/–
> А ты думаешь нет? Нет. Левый выхлоп в консоль при установке модуля или замена тайтла (как сделали в deadbeef) вызывает только раздражение у нормальных людей.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-22, 20:14	+/–
> Хотя бы файлы с диска не удаляет и то хорошо. А вот этого исключать нельзя. Поэтому всех этих людей стоит взять на карандаш.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

29. Сообщение от Вы забыли заполнить поле Name (?), 05-Дек-22, 20:17	+1 +/–
> Так называемые веб-программисты какают исходниками из непроверенного источника и запускат. > Им даже не приходит в голову мысль качать исходники из проверенного источника Да ладно. Также делает самый безопасный язык в мире https://www.rust-lang.org/tools/install > curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #34

30. Сообщение от Michael Shigorin (ok), 05-Дек-22, 22:26	–1 +/–
Ну раз исправлена в emacs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от grinder (??), 06-Дек-22, 11:49	+/–
> Fine rect Не, это больше похоже на название метода для отрисовки хороших таких прямоугольников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Аноним (-), 07-Дек-22, 09:19	+/–
Нннууу, учитывая что ты один хрен без верификации с них качать удумал, чем тебе шелскрипты так уж хуже? :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема