| 1.2, A.Stahl (ok), 10:53, 14/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
 Внимание! Утечка борща в третьей зоне. Уровень тревоги -- зелёно-фиолетовый. Рекомендуется погасить все localhost интерфейсы.
Лисперам с личными котелками выстроиться в столовой и ждать указаний.
Внимание...
| | |
| 1.3, Аноним (-), 11:06, 14/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> Разработчики проекта GNU Guile, в рамках которого развивается свободная реализация функционального языка программирования Scheme, устранили заслуживающую внимания уязвимость
Не льстите себе, всем пофиг. Её никто не использует кроме разработчиков.
| | |
| |
| |
| 3.12, Аноним (-), 13:14, 14/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
...который тоже не использует никто, кроме разработчиков. Они прям созданы друг для друга.
| | |
|
| 2.26, Ordu (ok), 18:36, 14/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Её никто не использует кроме разработчиков.
Вообще, за редким исключением, языками программирования пользуются разработчики. MS пыталась привить пользователям любовь к васику, из этого ничего не вышло. И guile гораздо приятнее всяких васиков или lua. В том же lilypond'е, например. Он попадается и в других местах, скажем, в гимпе, но на гимп мне плевать, совершенно ненужная программа, по-моему. А вот с lilypond'ом я с удовольствием вожусь, и схема там очень кстати.
| | |
| 2.30, кругомогорожено (?), 22:59, 14/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Половина gschem (редактор принципиальных схем из gEDA, САПР для электроники) написана на Scheme. gEDA/gaf - набор специализированных утилит в духе UNIX, склеенных между собой скриптами на Scheme (бекенды для обработки списка соединений, экспортеры/импортеры/конвертеры).
| | |
| 2.35, admin (??), 07:51, 15/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
pacman -Qii guile
Required By : make
pacman -Qii make
Depends On : glibc guile
точно никто?
| | |
| |
| 3.36, Аноним (-), 14:31, 15/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Package: make
Source: make-dfsg
Version: 4.0-8.1
Installed-Size: 1057
Maintainer: Manoj Srivastava <srivasta@debian.org>
Architecture: i386
Depends: libc6 (>= 2.17)
Replaces: make-guile <- it's dead, Jim
Suggests: make-doc
| | |
| |
| 4.39, admin (??), 01:03, 16/10/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Name : make
Version : 4.2.1-1
Description : GNU make utility to maintain groups of programs
Architecture : x86_64
URL : http://www.gnu.org/software/make
Licenses : GPL3
Groups : base-devel
Provides : None
Depends On : glibc guile
Optional Deps : None
Required By : None
Optional For : None
Conflicts With : None
Replaces : None
Installed Size : 1504.00 KiB
Packager : Andreas Radke <andyrtr@archlinux.org>
Build Date : Sat 11 Jun 2016 03:13:41 PM EEST
Install Date : Tue 14 Jun 2016 09:47:13 PM EEST
Install Reason : Explicitly installed
Install Script : No
Validated By : Signature
Backup Files :
(none)
| | |
|
|
|
| |
| 2.13, Andrey Mitrofanov (?), 14:48, 14/10/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> На вид - это скорее в браузерах уязвимость
Вот не надо грязи. Это не уязвимость, это их основная функция: загрузить неизестно что неизвестно откуда и немедленно выполнить. А уж кто на localhost-е не спратался...
| | |
| |
| 3.20, Аноним (-), 16:09, 14/10/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это в браузере. Если запретить кроссхост, то уязвимости не будет! А поломанные сайты - это проблемы владельцев сайтов... Ну или белый список прикручивать.
| | |
| |
| 4.31, angra (ok), 04:30, 15/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
 А если пойти по ссылке и внимательно почитать?
Есть некий evilsite.tld на котором нехорошая страничка. TTL для A записи стоит в 1 секунду. И 9 секунд из 10 указывает на его настоящий IP, а 1 секунду на 127.0.0.1. При просмотре странички загружается и выполянется js, который раз в секунду пытается отправить запрос на evilsite.tld. И никакого cross-site.
| | |
|
| 3.23, Crazy Alex (ok), 17:12, 14/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну, намёк понял и даже частично согласен, но вообще-то у них там CSP на этот счёт нынче есть. А согласен - в том плане, что на надёжность песочницы рассчитывать - себя не уважать. Либо у тебя недоверенный код не вопоняется в принципе, либо просто надейся, что тебя не поломают.
| | |
|
|
| 1.6, freehck (ok), 12:08, 14/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Однако. Это получается, что чтобы атаковать лиспера, необходимо захватить DNS-сервер, которым он пользуется, вставить в него A-запись для какого-нибудь сайта 127.0.0.1, потом заставить этого лиспера открыть специальную страницу, которая будет слать запросы на этот сайт, и эксплуатировать уязвимость guile, чтобы выполнить на машине разработчика произвольный код...
Знаете, наверное этот лиспер должен быть очень важным, раз на него такая изощрённая целевая атака идёт. :)
| | |
| |
| 2.10, Аноним (-), 12:52, 14/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Или вставить запись в один из популярных host-файлов для блокировки рекламы
| | |
| |
| 3.11, Аноним (-), 13:04, 14/10/2016 [^] [^^] [^^^] [ответить]
| +/– |
Зачем вообще какую-то запись вставлять? Сразу к 127.0.0.1 коннектиться.
| | |
|
| 2.32, angra (ok), 04:33, 15/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Знаете, наверное этот лиспер должен быть очень важным, раз на него такая изощрённая целевая атака идёт. :)
А кто сказал, что атака должна быть целевой? Создаем ресурс, раскручиваем его среди девелоперов(не обязательно лисперов, это не только для них уязвимость), в один прекрасный день собираем урожай. Время от времени повторяем.
| | |
| |
| 3.44, freehck (ok), 00:34, 18/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> не обязательно лисперов, это не только для них уязвимость
А мне кажется, что речь только про программы на Guile, стало быть обязательно лисперов. :)
| | |
|
|
| |
| |
| 3.18, Andrey Mitrofanov (?), 15:55, 14/10/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И что мне теперь делать?
Начинай использовать Нью Гайл! Теперь это Настоящий Язык -- с уязвимаостями и секурити фиксами. Пора!
| | |
|
|
| |
| 2.21, Andrey Mitrofanov (?), 16:27, 14/10/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Предлагаю запретить 127.0.0.1 и аналоги в браузерах для домохозяек
Девелоперам на гну гайле завезли какие-то "отдельные" броузеры?
| | |
| |
| 3.24, Crazy Alex (ok), 17:13, 14/10/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Подозрительный ты админ локалхоста. Это ынтырпрайзные товарищи такое любят обычно.
| | |
|
|
| 1.25, Аноним (-), 17:42, 14/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Tcp на локалхосте только хипстеры используют. Бородатые мужики - только югикс-сокеты.
| | |
| 1.37, Аноним (-), 16:19, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Ну что, зоркий глаз, на 15-й год ты заметил что браузер может ходить на локалхост? :)
| | |
|
