forum.opennet.ru - "Уязвимости в Grafana, позволяющие получить доступ к файлам в системе" (75)

"Уязвимости в Grafana, позволяющие получить доступ к файлам в системе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Grafana, позволяющие получить доступ к файлам в системе"	+/–
Сообщение от opennews (??), 11-Дек-21, 12:11
В открытой платформе визуализации данных Grafana выявлена уязвимость (CVE-2021-43798), позволяющая выйти за пределы базового каталога и получить доступ к произвольным файлам в локальной файловой системе сервера, насколько это позволяют права доступа пользователя, под которым выполняется Grafana. Проблема вызвана некорректной работой обработчика пути "/public/plugins/‹plugin-id›/", в котором допускалось использование символов ".." для доступа к нижележащим каталогам... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56329
Ответить \| Правка \| Cообщить модератору

Оглавление

Как хорошо, что почти всё запущено в докере в наши дни если конечно, человек н, Аноним (2), 12:13 , 11-Дек-21, (2) –3

Этот случай обрабатывается SELinux Если, конечно, девопс не является не таким , Аноним (3), 12:16 , 11-Дек-21, (3) +8

они ж selinux apparmor боятся как огня - , Роман (??), 12:51 , 11-Дек-21, (5) +2

selinux и apparmor несовместимы Либо одно, либо второе , Аноним (19), 15:50 , 11-Дек-21, (19) –2

chmod - resist fire 555acl - reflect damage 50 apparmor - resist normal weapons, InuYasha (??), 18:51 , 11-Дек-21, (38) +6

power off - invulnerability, Онаним (?), 19:44 , 11-Дек-21, (39) +5

процессор и южный мост продолжают работать даже в выключенном компьютере - man, onanim (?), 09:39 , 13-Дек-21, (83) –1

BMC, вы хотели сказать Под power off я не shutdown подразумевал, а именно power, Онаним (?), 09:48 , 13-Дек-21, (84)

Спасибо кэп, Аноним (51), 00:16 , 12-Дек-21, (51)

И как в этих ваших кубирнетисах настраивать SELinux Если сегодня pod тут, а зав, Легивон (?), 09:20 , 12-Дек-21, (63)

не знаю никого, кто б использовал докер в продуктиве - , Аноним (26), 17:18 , 11-Дек-21, (26) –1

минимум эти - https www cncf io certification software-conformance , An0nim0us (?), 18:22 , 11-Дек-21, (34)
Люто, неистово завидую , _ (??), 20:21 , 11-Дек-21, (40)
Сочувствую, SubGun (??), 21:13 , 12-Дек-21, (78) +1

Fixed, Онаним (?), 18:28 , 11-Дек-21, (37) +1
Как хорошо, что почти всё говно жрут в наши дни если конечно мозгов нет , КО (?), 05:20 , 12-Дек-21, (54)

щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет Жри чедали и не вы, ага (?), 08:35 , 12-Дек-21, (57)

Пожал плечами Странно ждать от хипстерских поделок чего-то иного Не первая дыра,, Онаним (?), 12:18 , 11-Дек-21, (4) +6

блин, а мне она когда-то нравилась ну до впендюривания хромонога внутрь, коне, пох. (?), 13:43 , 11-Дек-21, (12)

Я всегда считал, что это 171 верхлежащие 187 каталоги, мы же поднимаемся вве, Аноним (6), 13:00 , 11-Дек-21, (6) +11

В таком случае предлагаю тебе взобраться вверх на дерево до самого корня , Аноним (3), 13:31 , 11-Дек-21, (8) +2

Приложение выполнило недопустимую операцию и будет закрыто , Аноним (14), 14:22 , 11-Дек-21, (14)

Приложение закрыло недопустимую операцию и будет выполнено - java, InuYasha (??), 17:24 , 11-Дек-21, (28) +6

У вас корень ФС внизу О_ОА ls тоже снизу вверх показывает А tree что выводи, Урри (ok), 15:10 , 11-Дек-21, (18) +3

Планшет переверни , Аноним (22), 16:20 , 11-Дек-21, (22) +2

У него датчик ориентации - его такими трюками не обманешь , Аноним (46), 22:50 , 11-Дек-21, (46) +1

Ну дерево же, значит должно расти вверх, тянуться к солнцу , vitalif (ok), 18:07 , 11-Дек-21, (32)

А если в Австралии , Аноним (46), 22:50 , 11-Дек-21, (47) +3

Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корням, Ordu (ok), 17:19 , 11-Дек-21, (27) +1

Интересно, а есть ли какой-нибудь справочник типовых ошибок Просто подобные уязв, Корец (?), 13:09 , 11-Дек-21, (7)

Не поможет Обычно такие баги появляются о, я тут придумал штуку, щас быстреньк, мое правило (?), 13:37 , 11-Дек-21, (9) +1

И никакие поперечные юнит-тесты их не спасли Даже если у тебя тестами покрыто , Онаним (?), 13:41 , 11-Дек-21, (10) +5

Значит ты еще и покрытие кода тестами неправильно посчитал Это вон из профессии, Аноним (14), 14:25 , 11-Дек-21, (17) –2

Покрытие кода тестами и покрытие кейсов тестами - две большие разницы В современ, Онаним (?), 18:26 , 11-Дек-21, (35) +2

Я такие дырки специально оставлял пару раз Естественно, не будет никаких за, Аноним (29), 17:26 , 11-Дек-21, (29) +1

OWASP Top 10 , macfaq (?), 14:22 , 11-Дек-21, (15) +3

полез проверить - филенотфоунд Что за херня А-а-а-а, это ж только в моднявой 8, пох. (?), 13:42 , 11-Дек-21, (11) +4

Что такое - хромоног , Aa (?), 14:08 , 11-Дек-21, (13) +1

В данном контексте безголовый хром , Аноним (14), 14:24 , 11-Дек-21, (16) +4
Проходите дальше, не задерживайтесь , нах.. (?), 22:29 , 11-Дек-21, (45) –1
Я тоже не понял , asand3r (ok), 12:51 , 12-Дек-21, (66)

Все предыдущие обработчики в путях уволились , Онаним (?), 18:27 , 11-Дек-21, (36) +1
не огорчайтесь так, для вас все еще остается log4j, Михрютка (ok), 22:58 , 11-Дек-21, (48) +1

Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ни, пох. (?), 08:38 , 12-Дек-21, (58)

Что ж ты не прислал патч и не показал как надо Копеечный код же Ах, ну да, ты , Аноним (70), 18:23 , 12-Дек-21, (70)

Прислал Имени Бармина У меня нет и не будет нигде использоваться графана от та, пох. (?), 23:09 , 12-Дек-21, (81) +2

Декада хипстоты потихоньку уходит в небытие Интересно, кто же их заменит , Аноним (20), 16:00 , 11-Дек-21, (20)

Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б ну вас нах пойду лучше диза, Аноним (22), 16:24 , 11-Дек-21, (24) +2

чем пориджы не устраивает , Аноним (25), 16:38 , 11-Дек-21, (25) +1

Вообще говоря поридж - это не обязательно молодой Это просто недалекий, падкий д, Ananimasss (?), 09:15 , 12-Дек-21, (60)

Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпа, Аноним (50), 23:32 , 11-Дек-21, (50)

У приличных людей все эти обрабатываются пока оно ещё URL, и только потом , YetAnotherOnanym (ok), 20:36 , 11-Дек-21, (43)

Дак вот кто сидел в апаче и приделывал там костыли А потом получили очередную д, Аноним (46), 22:58 , 11-Дек-21, (49) –1

Эээ Я, вообще-то, не про Апач Кстати, а в чём проблема - декодить в цикле ка, YetAnotherOnanym (ok), 01:07 , 12-Дек-21, (52) +1

в том же самом проблема, что и использовать универсальный парсер url для ненужно, пох. (?), 08:42 , 12-Дек-21, (59) +1

Ну, или так В любом случае, чтобы, после декодинга однократного или до победно, YetAnotherOnanym (ok), 23:04 , 12-Дек-21, (80)

А как зарубить в том же nginx Эти точечки никлому не упали, Аноним (53), 05:10 , 12-Дек-21, (53)

А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь А если, Ananimasss (?), 09:20 , 12-Дек-21, (62)

Крайне мало интересного известно о зомби-снежном человеке Кроме его социальн, пох. (?), 14:59 , 12-Дек-21, (67) +2

Персональные учётки на серверах Админ локалхоста детектед , Аноним (70), 18:26 , 12-Дек-21, (71)

А куда деваться с серверов от персональных учёток Или вы предпочитаете один рут , Онаним (?), 18:33 , 12-Дек-21, (72) +2

девляпс подход, у них всегда так Все ключи от всего в etcd А потом - ой дверь , пох. (?), 18:57 , 12-Дек-21, (75) +2

точна, девляпсы с миллиардами серверов-то всегда рутом ходют ну а кто наcpaл в , пох. (?), 18:53 , 12-Дек-21, (74)

А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать , Онаним (?), 18:36 , 12-Дек-21, (73) +1

а что, там еще и пароль был , пох. (?), 18:58 , 12-Дек-21, (76) +1

Ну это да, шутка юмора была такая Но суть та D, Онаним (?), 20:19 , 12-Дек-21, (77)

Всё просто берешь исходники и правишь их , Аноним (64), 09:21 , 12-Дек-21, (64)

Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги Ты можешь поправить, пох. (?), 15:38 , 12-Дек-21, (69) +1

Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают в URL , SubGun (??), 21:25 , 12-Дек-21, (79)

А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-язы, Wilem82 (ok), 08:13 , 12-Дек-21, (56) –4

Писали бы на расте и была бы еще дна проблема под названием раст Вот Хасекль эт, Аноним (64), 09:19 , 12-Дек-21, (61)

Что самое интересное - пиши это дело PHP шники, и такого говна не было бы Потому, Онаним (?), 10:55 , 12-Дек-21, (65) +1

Язык и данная проблема -- вещи ортогональные А если говорить про культуру, то, , anonymous (??), 12:27 , 13-Дек-21, (87)

А тут не в языке дело, а в специфике, связанной с окружением языка , Онаним (?), 14:33 , 13-Дек-21, (88)

да никакой проблемы - нет кода, нет уязвимостей Хаскель, конечно, надежнее , пох. (?), 15:01 , 12-Дек-21, (68)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 11-Дек-21, 12:13 –3 +/–

Как хорошо, что почти всё запущено в докере в наши дни. (если конечно, человек не делал -v /:/)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #26, #37, #54

3. Сообщение от Аноним (3), 11-Дек-21, 12:16 +8 +/–

> если конечно, человек не делал -v /:/
Этот случай обрабатывается SELinux. Если, конечно, девопс не является "не таким как все" и не отключал SELinux. А таких тут много.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5, #63

4. Сообщение от Онаним (?), 11-Дек-21, 12:18 +6 +/–

Пожал плечами.
Странно ждать от хипстерских поделок чего-то иного.
Не первая дыра, и не последняя.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

5. Сообщение от Роман (??), 11-Дек-21, 12:51 +2 +/–

они ж selinux apparmor боятся как огня :-)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #19

6. Сообщение от Аноним (6), 11-Дек-21, 13:00 +11 +/–

> использование символов ".." для доступа к нижележащим каталогам.
Я всегда считал, что это «верхлежащие» каталоги, мы же поднимаемся вверх, выходим из каталога.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Корец (?), 11-Дек-21, 13:09 +/–

>/public/plugins/prometheus/../../../../../../../../etc/passwd
Интересно, а есть ли какой-нибудь справочник типовых ошибок?
Просто подобные уязвимости встречаются довольно часто. Было бы неплохо, если бы был некий справочник, по которому потом можно будет сделать набор тестов, чтоб не допускать "детских" ошибок.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #15

8. Сообщение от Аноним (3), 11-Дек-21, 13:31 +2 +/–

В таком случае предлагаю тебе взобраться "вверх" на дерево до самого... корня ("/", root).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #14, #18, #27

9. Сообщение от мое правило (?), 11-Дек-21, 13:37 +1 +/–

Не поможет. Обычно такие баги появляются "о, я тут придумал штуку, щас быстренько прилеплю", и даже тестов нормальных не пишут.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #10

10. Сообщение от Онаним (?), 11-Дек-21, 13:41 +5 +/–

И никакие поперечные юнит-тесты их не спасли...
Даже если у тебя тестами покрыто 100% кода, от misuse этого кода тесты не спасают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17, #29

11. Сообщение от пох. (?), 11-Дек-21, 13:42 +4 +/–

полез проверить - филенотфоунд. Что за херня? А-а-а-а, это ж только в моднявой 8.0 додумались, я снова ср-ный неудачник.
В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.
Похоже, попутно еще много чего нужного и полезного притащили, вот, к примеру, нескучный обработчик ../ в путях. Интересно, куда девали предыдущих разработчиков.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #36, #48, #70

12. Сообщение от пох. (?), 11-Дек-21, 13:43 +/–

блин, а мне она когда-то нравилась... ну до впендюривания хромонога внутрь, конечно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

13. Сообщение от Aa (?), 11-Дек-21, 14:08 +1 +/–

Что такое - хромоног?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16, #45, #66

14. Сообщение от Аноним (14), 11-Дек-21, 14:22 +/–

Приложение выполнило недопустимую операцию и будет закрыто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #28

15. Сообщение от macfaq (?), 11-Дек-21, 14:22 +3 +/–

OWASP Top 10.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

16. Сообщение от Аноним (14), 11-Дек-21, 14:24 +4 +/–

В данном контексте безголовый хром.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (14), 11-Дек-21, 14:25 –2 +/–

Значит ты еще и покрытие кода тестами неправильно посчитал. Это вон из профессии я считаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #35

18. Сообщение от Урри (ok), 11-Дек-21, 15:10 +3 +/–

У вас корень ФС внизу? О_О
А ls "." тоже снизу вверх показывает?
А tree что выводит? Вот такое?
    ┌── 80alsa -> ../scripts.d/alsa
┌── suspend.d
│   ┌── alsa
├── scripts.d
│   ┌── 20alsa -> ../scripts.d/alsa
├── resume.d
├── event.d
.
А как вы этого добились?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #22, #32

19. Сообщение от Аноним (19), 11-Дек-21, 15:50 –2 +/–

selinux и apparmor несовместимы. Либо одно, либо второе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #38, #51

20. Сообщение от Аноним (20), 11-Дек-21, 16:00 +/–

Декада хипстоты потихоньку уходит в небытие. Интересно, кто же их заменит...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

22. Сообщение от Аноним (22), 11-Дек-21, 16:20 +2 +/–

Планшет переверни =)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #46

24. Сообщение от Аноним (22), 11-Дек-21, 16:24 +2 +/–

Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б$% ну вас нах% пойду лучше дизайном заниматься.
Или ну ок пойду получать профильное образование раз говнолепно делаю все.
Вот и подрастает очередное поколение которое будет на навне с нами обнулять заслуги молдоых.

Кастуйте новое название для них. Что там сейчас Манкрафтеры?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #25, #50

25. Сообщение от Аноним (25), 11-Дек-21, 16:38 +1 +/–

>Кастуйте новое название для них. Что там сейчас Манкрафтеры?
чем "пориджы" не устраивает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #60

26. Сообщение от Аноним (26), 11-Дек-21, 17:18 –1 +/–

не знаю никого, кто б использовал докер в продуктиве :-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #34, #40, #78

27. Сообщение от Ordu (ok), 11-Дек-21, 17:19 +1 +/–

Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корнями вверх. То есть взбираясь по дереву наверх, ты ползёшь к корню. И это хорошо так закрепилось в терминологии. В частности и в файловой системе выбираясь наверх из кучи вложенных директорий, ты выбираешься _наверх_.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от InuYasha (??), 11-Дек-21, 17:24 +6 +/–

Приложение закрыло недопустимую операцию и будет выполнено. - java

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

29. Сообщение от Аноним (29), 11-Дек-21, 17:26 +1 +/–

Я такие "дырки" специально оставлял пару раз :) Естественно, не будет никаких зафейленных тестов, если "уязвимость" оставлена намеренно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

32. Сообщение от vitalif (ok), 11-Дек-21, 18:07 +/–

Ну дерево же, значит должно расти вверх, тянуться к солнцу))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #47

34. Сообщение от An0nim0us (?), 11-Дек-21, 18:22 +/–

минимум эти - https://www.cncf.io/certification/software-conformance/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

35. Сообщение от Онаним (?), 11-Дек-21, 18:26 +2 +/–

Покрытие кода тестами и покрытие кейсов тестами - две большие разницы.
В современном говнокодинге ориентируются именно на первое.
А количество кейсов в мало-мальски сложных проектах стремится к бесконечности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

36. Сообщение от Онаним (?), 11-Дек-21, 18:27 +1 +/–

Все предыдущие обработчики ../ в путях уволились.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

37. Сообщение от Онаним (?), 11-Дек-21, 18:28 +1 +/–

> Как хорошо, что почти всё настолько запущено в наши дни
Fixed

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

38. Сообщение от InuYasha (??), 11-Дек-21, 18:51 +6 +/–

chmod - resist fire +555
acl - reflect damage 50%
apparmor - resist normal weapons
selinux - absorb magical damage
:)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #39

39. Сообщение от Онаним (?), 11-Дек-21, 19:44 +5 +/–

power off - invulnerability

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #83

40. Сообщение от _ (??), 11-Дек-21, 20:21 +/–

>не знаю никого, кто б использовал докер в продуктиве :-)
Люто, неистово завидую :(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

43. Сообщение от YetAnotherOnanym (ok), 11-Дек-21, 20:36 +/–

У приличных людей все эти "../" обрабатываются пока оно ещё URL, и только потом то, что получится, маппится в локальный ресурс или обработчик.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

45. Сообщение от нах.. (?), 11-Дек-21, 22:29 –1 +/–

Проходите дальше, не задерживайтесь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

46. Сообщение от Аноним (46), 11-Дек-21, 22:50 +1 +/–

У него датчик ориентации - его такими трюками не обманешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

47. Сообщение от Аноним (46), 11-Дек-21, 22:50 +3 +/–

А если в Австралии?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

48. Сообщение от Михрютка (ok), 11-Дек-21, 22:58 +1 +/–

>>> я снова ср-ный неудачник.
не огорчайтесь так, для вас все еще остается log4j

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #58

49. Сообщение от Аноним (46), 11-Дек-21, 22:58 –1 +/–

Дак вот кто сидел в апаче и приделывал там костыли! А потом получили очередную дыру - точки были заенкодены... Потом - дважды енкодены...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #52

50. Сообщение от Аноним (50), 11-Дек-21, 23:32 +/–

Раньше были формошлёпами для делфи, потом формошлёпы для пхп, так что формошлёпами пусть и остаются. Тут видь главное, что красиво, с рамочками, графиками, подсветочкой

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

51. Сообщение от Аноним (51), 12-Дек-21, 00:16 +/–

Спасибо кэп

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

52. Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 01:07 +1 +/–

Эээ... Я, вообще-то, не про Апач.
Кстати, а в чём проблема - декодить в цикле (как завещал великий Дийкстра) пока оно не перестанет изменяться? И только после этого пройти по пути URL'а?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #59

53. Сообщение от Аноним (53), 12-Дек-21, 05:10 +/–

А как зарубить ../ в том же nginx? Эти точечки никлому не упали

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #62, #64, #79

54. Сообщение от КО (?), 12-Дек-21, 05:20 +/–

Как хорошо, что почти всё говно жрут в наши дни (если конечно мозгов нет)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #57

56. Сообщение от Wilem82 (ok), 12-Дек-21, 08:13 –4 +/–

А всё потому, что часть стандартной библиотеки по работе с путями в го - имя-языка-вно. Писали бы на расте, не знали бы проблем.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #61

57. Сообщение от ага (?), 12-Дек-21, 08:35 +/–

щас, кто тебя спрашивать-то будет, есть у тебя мозги или нет? Жри чедали и не выпендривайся!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

58. Сообщение от пох. (?), 12-Дек-21, 08:38 +/–

Это не для нас, это для оправдания своей немаленькой зарплаты и при этом чтоб ничего не делать (сделать-то все равно ничего нельзя, ты не факт что даже знаешь что там ипользуется в этих купленных за миллионы деньгов копропротивных системах, и тем более ничего не можешь поправить)
А СВОИХ программ на жабе у меня только ldap browser - и там нет log4j, он вообще немодный.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

59. Сообщение от пох. (?), 12-Дек-21, 08:42 +1 +/–

в том же самом проблема, что и использовать универсальный парсер url для ненужного ненужно ldap:// эмбеднутого в нескучный логгер.
Никогда не знаешь, где немножечко-немножечко лажанешь если не ты сам, то кто-то использующий этот твой код.
Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация левых символов, нормализация, и 404 notfound или вообще 444.
Ну это если тебя волнует безопасность, а не conformance высосанным из пальца теоретиками (потому что в 80 лет уже нельзя быть практиком, а нехилую зарплату хочется, таблеточки дороги) стандартам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #80

60. Сообщение от Ananimasss (?), 12-Дек-21, 09:15 +/–

Вообще говоря поридж - это не обязательно молодой.
Это просто недалекий, падкий до броских названий и захранишного. Просто среди школоты таких больше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

61. Сообщение от Аноним (64), 12-Дек-21, 09:19 +/–

Писали бы на расте и была бы еще дна проблема под названием раст. Вот Хасекль это дело.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #65, #68

62. Сообщение от Ananimasss (?), 12-Дек-21, 09:20 +/–

А зойчем, при настроенных правах ничего интересного ты от ввв не прочтешь.
А если еще оно крутится-вертится в тюрячках, как и должно, то совсем мало чего интересного.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #67, #73

63. Сообщение от Легивон (?), 12-Дек-21, 09:20 +/–

И как в этих ваших кубирнетисах настраивать SELinux? Если сегодня pod тут, а завтра:daw через 10 минут там.
Есть какой-то оператор который позваляет таскать в манифесках конфиг selinux? Ссылочку не дадите?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

64. Сообщение от Аноним (64), 12-Дек-21, 09:21 +/–

Всё просто берешь исходники и правишь их.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #69

65. Сообщение от Онаним (?), 12-Дек-21, 10:55 +1 +/–

Что самое интересное - пиши это дело PHP'шники, и такого говна не было бы.
Потому что в мире PHP все эти проблемы с ../ и многим прочим уже 100500100500 раз обсосаны и известны каждому школьнику, а не валидировать самостоятельно пользовательский ввод, надеясь на библиотеки, уже рискуют всего лишь 2 из 3 студентов. Моднявчикам же по этим граблям ещё предстоит походить основательно, они просто пока относительно неуловимый Джо, поэтому их не трогают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #87

66. Сообщение от asand3r (ok), 12-Дек-21, 12:51 +/–

Я тоже не понял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

67. Сообщение от пох. (?), 12-Дек-21, 14:59 +2 +/–

"Крайне мало [интересного] известно о зомби-снежном человеке. Кроме его социального номера, адреса, возраста, любимого кушанья..."
Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.
> А если еще оно крутится-вертится в тюрячках, как и должно
нет, дружище, никому оно ничего не должно - кривые костыли и подпорки должны оставаться кривыми костылями и подпорками, когда на наличие у пациентов разума надежды уже не осталось. Если софт требует запуска в дальнем секторе полигона - ну его нахрен такой софт вообще запускать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #71

68. Сообщение от пох. (?), 12-Дек-21, 15:01 +/–

да никакой проблемы - нет кода, нет уязвимостей. Хаскель, конечно, надежнее.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

69. Сообщение от пох. (?), 12-Дек-21, 15:38 +1 +/–

Угу, у тебя ж бесконечная жизнь и кряк на бесконечные деньги.
Ты можешь поправить вообще всё. Жаль, что почему-то пока нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

70. Сообщение от Аноним (70), 12-Дек-21, 18:23 +/–

> В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы.
Что ж ты не прислал патч и не показал как надо? Копеечный код же. Ах, ну да, ты же только на опеннете можешь ляссы точить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #81

71. Сообщение от Аноним (70), 12-Дек-21, 18:26 +/–

> Вот например, прекрасно получается /etc/passwd - что дает прекрасную информацию как минимум о наличии персональных учеток. А то и других уязвимых сервисов.
Персональные учётки на серверах? Админ локалхоста детектед.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #72, #74

72. Сообщение от Онаним (?), 12-Дек-21, 18:33 +2 +/–

А куда деваться с серверов от персональных учёток?
Или вы предпочитаете один рут на весь зоопарк из 5 отделов?
Или может быть централизованный сервер конфигураций (заодно вместе со СКУДами, по недавнему примеру), при взломе которого положат всю вашу инфраструктуру целиком, и при падении которого вы даже дверь в серверную не откроете?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #75

73. Сообщение от Онаним (?), 12-Дек-21, 18:36 +1 +/–

А если учесть что девляпсы любят в этих тюрячках пароли от редисок забывать...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #76

74. Сообщение от пох. (?), 12-Дек-21, 18:53 +/–

точна, девляпсы с миллиардами серверов-то всегда рутом ходют.
(ну а кто наcpaл в лифте при этом определяют по запаху, логи ведь тоже нинуна и их нет, а если и есть то там рут)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

75. Сообщение от пох. (?), 12-Дек-21, 18:57 +2 +/–

> А куда деваться с серверов от персональных учёток?
девляпс подход, у них всегда так. Все ключи от всего в etcd. А потом - ой дверь не открывается. Жаль что снаружи, и фреон не подали как положено.
Впрочем, "один рут" тоже бывает. При увольнении очередного "рута" или продолбе его доступа при этом подходе происходит много всего интересного (причем независимо от того как именно этот рутовый доступ был устроен), но наблюдать за б-ским цирком лучше с безопасного расстояния.
Это ведь гораздо забавнее чем просто заблокировать именную учетку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

76. Сообщение от пох. (?), 12-Дек-21, 18:58 +1 +/–

> А если учесть что девляпсы любят в этих тюрячках пароли от редисок
> забывать...
а что, там еще и пароль был?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #77

77. Сообщение от Онаним (?), 12-Дек-21, 20:19 +/–

Ну это да, шутка юмора была такая.
Но суть та :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

78. Сообщение от SubGun (??), 12-Дек-21, 21:13 +1 +/–

Сочувствую

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

79. Сообщение от SubGun (??), 12-Дек-21, 21:25 +/–

> А как зарубить ../ в том же nginx? Эти точечки никлому не упали
Я вообще удивлен, что в 2021 году веб-серверы еще обрабатывают "../" в URL.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

80. Сообщение от YetAnotherOnanym (ok), 12-Дек-21, 23:04 +/–

> Поэтому никаких декодингов в цикле. После одного, ровно одного прохода - фильтрация
> левых символов, нормализация, и 404 notfound или вообще 444.
Ну, или так. В любом случае, чтобы, после декодинга (однократного или до победного конца) никакие закодированные символы не распознавались (неважно, из-за отсутствия или из-за запрета им быть).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

81. Сообщение от пох. (?), 12-Дек-21, 23:09 +2 +/–

Прислал. Имени Бармина. У меня нет и не будет нигде использоваться графана от таких альтернативно-одаренных, которым ради статичной картинки с собственного движка скопированной - нужен - хромоног.
И, как видишь, я не ошибся.
А вот незадачливые коллеги взгромоздившие себе восьмую сами не зная зачем "паследнюю-паследнюю, патамуштанада" - в пятницу чегой-та прыгали и судорожно апгрейдились.
> Ах, ну да, ты же только на опеннете можешь ляссы точить.
ты-то уже пять графан написал? Или нет, ты на такие мелочи не размениваешься, каждый день новый гугль пишешь?
А мне за каждой обезьянкой, не сумевшей в жопоскрипт (ага) лужицы подтирать - остатка жизни уже не хватит. Да и прожить ее хотелось бы совершенно иначе.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

83. Сообщение от onanim (?), 13-Дек-21, 09:39 –1 +/–

процессор и южный мост продолжают работать даже в "выключенном" компьютере:
- man Intel AMT
- man BCM
invulnerability - это выдернуть шнур, выдавить стекло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #84

84. Сообщение от Онаним (?), 13-Дек-21, 09:48 +/–

BMC, вы хотели сказать.
Под power off я не shutdown подразумевал, а именно *power* *off*.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

87. Сообщение от anonymous (??), 13-Дек-21, 12:27 +/–

Язык и данная проблема -- вещи ортогональные. А если говорить про культуру, то, мне кажется, на PHP как раз такие ошибки допускают чаще всего. Кстати, под Go, вроде был linter, который находил такие проблемы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #88

88. Сообщение от Онаним (?), 13-Дек-21, 14:33 +/–

А тут не в языке дело, а в специфике, связанной с окружением языка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 11-Дек-21, 12:13	–3 +/–
Как хорошо, что почти всё запущено в докере в наши дни. (если конечно, человек не делал -v /:/)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3, #26, #37, #54

3. Сообщение от Аноним (3), 11-Дек-21, 12:16	+8 +/–
> если конечно, человек не делал -v /:/ Этот случай обрабатывается SELinux. Если, конечно, девопс не является "не таким как все" и не отключал SELinux. А таких тут много.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #5, #63

4. Сообщение от Онаним (?), 11-Дек-21, 12:18	+6 +/–
Пожал плечами. Странно ждать от хипстерских поделок чего-то иного. Не первая дыра, и не последняя.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #12

5. Сообщение от Роман (??), 11-Дек-21, 12:51	+2 +/–
они ж selinux apparmor боятся как огня :-)))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #19

6. Сообщение от Аноним (6), 11-Дек-21, 13:00	+11 +/–
> использование символов ".." для доступа к нижележащим каталогам. Я всегда считал, что это «верхлежащие» каталоги, мы же поднимаемся вверх, выходим из каталога.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

7. Сообщение от Корец (?), 11-Дек-21, 13:09	+/–
>/public/plugins/prometheus/../../../../../../../../etc/passwd Интересно, а есть ли какой-нибудь справочник типовых ошибок? Просто подобные уязвимости встречаются довольно часто. Было бы неплохо, если бы был некий справочник, по которому потом можно будет сделать набор тестов, чтоб не допускать "детских" ошибок.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #15

8. Сообщение от Аноним (3), 11-Дек-21, 13:31	+2 +/–
В таком случае предлагаю тебе взобраться "вверх" на дерево до самого... корня ("/", root).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #14, #18, #27

9. Сообщение от мое правило (?), 11-Дек-21, 13:37	+1 +/–
Не поможет. Обычно такие баги появляются "о, я тут придумал штуку, щас быстренько прилеплю", и даже тестов нормальных не пишут.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #10

10. Сообщение от Онаним (?), 11-Дек-21, 13:41	+5 +/–
И никакие поперечные юнит-тесты их не спасли... Даже если у тебя тестами покрыто 100% кода, от misuse этого кода тесты не спасают.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #17, #29

11. Сообщение от пох. (?), 11-Дек-21, 13:42	+4 +/–
полез проверить - филенотфоунд. Что за херня? А-а-а-а, это ж только в моднявой 8.0 додумались, я снова ср-ный неудачник. В общем-то все понятно было ровно с момента, когда они притащили в графану (в общем-то копеечный код умеющий ровно рисовать картинки и более ничего) - целиком хромонога потому что ниасиляторы. Похоже, попутно еще много чего нужного и полезного притащили, вот, к примеру, нескучный обработчик ../ в путях. Интересно, куда девали предыдущих разработчиков.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #36, #48, #70

12. Сообщение от пох. (?), 11-Дек-21, 13:43	+/–
блин, а мне она когда-то нравилась... ну до впендюривания хромонога внутрь, конечно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

13. Сообщение от Aa (?), 11-Дек-21, 14:08	+1 +/–
Что такое - хромоног?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #16, #45, #66

14. Сообщение от Аноним (14), 11-Дек-21, 14:22	+/–
Приложение выполнило недопустимую операцию и будет закрыто.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #28

15. Сообщение от macfaq (?), 11-Дек-21, 14:22	+3 +/–
OWASP Top 10.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

16. Сообщение от Аноним (14), 11-Дек-21, 14:24	+4 +/–
В данном контексте безголовый хром.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (14), 11-Дек-21, 14:25	–2 +/–
Значит ты еще и покрытие кода тестами неправильно посчитал. Это вон из профессии я считаю.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #35

18. Сообщение от Урри (ok), 11-Дек-21, 15:10	+3 +/–
У вас корень ФС внизу? О_О А ls "." тоже снизу вверх показывает? А tree что выводит? Вот такое? ┌── 80alsa -> ../scripts.d/alsa ┌── suspend.d │ ┌── alsa ├── scripts.d │ ┌── 20alsa -> ../scripts.d/alsa ├── resume.d ├── event.d . А как вы этого добились?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #22, #32

19. Сообщение от Аноним (19), 11-Дек-21, 15:50	–2 +/–
selinux и apparmor несовместимы. Либо одно, либо второе.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #38, #51

20. Сообщение от Аноним (20), 11-Дек-21, 16:00	+/–
Декада хипстоты потихоньку уходит в небытие. Интересно, кто же их заменит...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24

22. Сообщение от Аноним (22), 11-Дек-21, 16:20	+2 +/–
Планшет переверни =)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #46

24. Сообщение от Аноним (22), 11-Дек-21, 16:24	+2 +/–
Они не уходят, а подростают из ВАЙТИШНИКОВ в ой б$% ну вас нах% пойду лучше дизайном заниматься. Или ну ок пойду получать профильное образование раз говнолепно делаю все. Вот и подрастает очередное поколение которое будет на навне с нами обнулять заслуги молдоых. Кастуйте новое название для них. Что там сейчас Манкрафтеры?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #25, #50

25. Сообщение от Аноним (25), 11-Дек-21, 16:38	+1 +/–
>Кастуйте новое название для них. Что там сейчас Манкрафтеры? чем "пориджы" не устраивает?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #60

26. Сообщение от Аноним (26), 11-Дек-21, 17:18	–1 +/–
не знаю никого, кто б использовал докер в продуктиве :-)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #34, #40, #78

27. Сообщение от Ordu (ok), 11-Дек-21, 17:19	+1 +/–
Дональд Кнут в TAOCP прикалывался над тем, что информатики рисуют деревья корнями вверх. То есть взбираясь по дереву наверх, ты ползёшь к корню. И это хорошо так закрепилось в терминологии. В частности и в файловой системе выбираясь наверх из кучи вложенных директорий, ты выбираешься _наверх_.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

28. Сообщение от InuYasha (??), 11-Дек-21, 17:24	+6 +/–
Приложение закрыло недопустимую операцию и будет выполнено. - java
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

29. Сообщение от Аноним (29), 11-Дек-21, 17:26	+1 +/–
Я такие "дырки" специально оставлял пару раз :) Естественно, не будет никаких зафейленных тестов, если "уязвимость" оставлена намеренно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

32. Сообщение от vitalif (ok), 11-Дек-21, 18:07	+/–
Ну дерево же, значит должно расти вверх, тянуться к солнцу))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18 Ответы: #47

34. Сообщение от An0nim0us (?), 11-Дек-21, 18:22	+/–
минимум эти - https://www.cncf.io/certification/software-conformance/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26

35. Сообщение от Онаним (?), 11-Дек-21, 18:26	+2 +/–
Покрытие кода тестами и покрытие кейсов тестами - две большие разницы. В современном говнокодинге ориентируются именно на первое. А количество кейсов в мало-мальски сложных проектах стремится к бесконечности.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

36. Сообщение от Онаним (?), 11-Дек-21, 18:27	+1 +/–
Все предыдущие обработчики ../ в путях уволились.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11