| 1.1, Аноним (1), 21:24, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> изменить файл ~/.ssh/authorized_keys
> 9.9 из 10
покажите мне 10.0
| | |
| |
| 2.8, Аноним (8), 21:47, 08/07/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
10 из 10 это удаленное выполнение кода с правами суперпользователя.
А тут как повезет, если владелец отключил вход по SSH от рута, то тебе достанется непривилегированная учётка.
| | |
| |
| 3.28, EuPhobos (ok), 09:37, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > А тут как повезет, если владелец отключил вход по SSH от рута, то тебе достанется непривилегированная учётка.
А если повезёт, и владелец прописал NOPASSWD: /bin/bash в sudoers, то это и будет недостающая 0.1 к 9.9
| | |
|
|
| |
| 2.26, soarin (ok), 06:51, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Кстати. В прошлый раз спрашивал, но почему-то пошло под удаление, хотя вопрос серьезный.
Как в Mozilla social с NSFW артом. Можно выкладывать? Чисто свой без копирайтных страйков от кого-то.
ЗЫ: для знакомого спрашиваю 🤨
| | |
| |
| 3.53, Аноним (53), 12:24, 12/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
Мопед не мой, я просто разместил объявление? : )
По сути -- с понями, наверное, можно -- оно ж даже в тренде (еврозоны).
| | |
|
| 2.40, fuggy (ok), 19:05, 09/07/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Исследование наверно было сделано по заказу Маска, чтобы запугать убегающих их твиттер: "Вот видите, какие уязвимости в Mastodon, в твиттере таких нет. Не уходите."
| | |
| |
| 3.46, Аноньимъ (ok), 13:48, 10/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Исследование наверно было сделано по заказу Маска, чтобы запугать убегающих их твиттер:
> "Вот видите, какие уязвимости в Mastodon, в твиттере таких нет. Не
> уходите."
Зашёл я на этот мастодон.
И первое что узнал так это то что:
Today I discovered that not only is July #Disability Pride Month but also that we have a flag
Месяц гордости инвалидности.
| | |
| |
| 4.48, Аноним (48), 09:39, 11/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
А в твиттере и не такое пишут, ужас! (Только мы, увы, этого уже прочитать не сможем)
| | |
| |
| 5.51, Аноньимъ (ok), 13:09, 11/07/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Ну я сразу на такую забавную выборку наткнулся из климат ченже прайд дайверсити и всего такого.
Не знаю как главная страница свитера сейчас выглядит.
| | |
|
| 4.49, Аноним (49), 12:09, 11/07/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Зашёл я на этот мастодон.
На какой из 12 тысяч инстансов ты зашел, чудило?
И почему у тебя так подгорает от факта, что в цивилизованном мире инвалидов тоже считают людьми?
| | |
| |
| 5.50, Аноньимъ (ok), 13:02, 11/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
>> Зашёл я на этот мастодон.
> На какой из 12 тысяч инстансов ты зашел, чудило?
На оф сайт.
> И почему у тебя так подгорает
У вас с головой проблемы.
>что в цивилизованном мире
Большие.
> инвалидов тоже считают людьми?
Эм, я такого не писал, на мастодонте этом такого не пишут, и вообще, откуда вы этот бред взяли?
С какой стати вы меня так грязно оскорбляете, и приписываете мне какие-то чудовищные вещи?
| | |
|
|
|
|
| 1.4, Аноним (3), 21:34, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Админ, сегодня вышел в релиз OGRE 14, графический движок с лицензией MIT.
Предлагаю оформить как новость.
| | |
| 1.9, BrainFucker (ok), 21:55, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Пользуясь случаем передаю привет самому упоротому участнику #fediverse iron_bug@friendica.ironbug.org
| | |
| 1.16, Аноним (16), 22:52, 08/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
мастадон по сравнению с другими платформами (pleroma,akkoma,calky,misskey) просто ужасна и не нужна, ActivePub хороший протокол
| | |
| |
| 2.30, Аноним (30), 10:05, 09/07/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А кто из других платформ умеет в OAuth? Желательно в обоих направлениях.
| | |
|
| 1.23, Аноним (23), 01:07, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Может кто-нибудь объяснить, как работают эти уязвимости? О исполнении какого кода речь? Явно ведь не машинного, это же невозможно просто, так как злоумышленник может изменить файл на сервере, просто прикрепив "неудобную" мультимедию?
| | |
| |
| 2.24, Аноньимъ (ok), 03:37, 09/07/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>О исполнении какого кода речь? Явно ведь не машинного, это же невозможно просто
О мой юный наивный друг, завидую я вам, вашему крепкому сну и счастливой жизни.
>Может кто-нибудь объяснить, как работают эти уязвимости?
Можно создать любой файл на сервере, сервер же исполняет много всяких файлов автоматически, можно их подменить, и тогда сервер запустит ваш супер вирус.
>как злоумышленник может изменить файл на сервере, просто прикрепив "неудобную" мультимедию?
Стоит почитать подробности уязвимости, но скорее всего там сишники отстреливают себе голову в очередной раз забыв проверить размер буфера или валидность пути в метаданных мультимедиа.
| | |
| |
| |
| |
| |
| 6.39, Аноньимъ (ok), 14:49, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Так я разобрался же прежде чем писать.
> Три минуты ушло.
Расскажите что там происходит.
| | |
|
|
|
| 3.31, YetAnotherOnanym (ok), 10:20, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– |
 > Стоит почитать подробности уязвимости, но скорее всего там сишники
Стоит, стоит. Однозначно стоит.
Только там ничего не раскрывают, дают время обновится. А пока можно зайти хотя бы на вики или страницу проекта на гитхабе, чтобы посмотреть, на чём он написан.
| | |
| |
| 4.32, Аноньимъ (ok), 11:51, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Только там ничего не раскрывают
Увы.
>А пока можно зайти хотя бы на вики или страницу проекта на гитхабе, чтобы посмотреть, на чём он написан.
Чур меня!
| | |
|
| 3.35, Аноним (23), 12:08, 09/07/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>О мой юный наивный друг, завидую я вам, вашему крепкому сну и счастливой жизни.
Ну хорошо, допустим он может исполнять машинный код, который был получен из сокета.
Но ведь в сегменте памяти стоит RO/EXEC флаги, его же изменять нельзя во время исполнения программы. Если это не так, то реквестирую литературу/статьи, где это написано подробно. Всё дело в том, что я сейчас пишу небольшую игру, которая работает по сети и мне бы не хотелось, чтобы там были подобного рода уязвимости.
| | |
|
|
| 1.41, Аноним (41), 19:27, 09/07/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
> атакующий может разместить файл в каталоге с web-скриптами, изменить файл ~/.ssh/authorized_keys с ключами SSH или добавить автозапускаемый сценарий, такой как "~/.bashrc" или ~/.profile.
Ну разместил где-то в контейнере .bashrc. И что дальше делать? Новость писал человек без фантазии. Дырка опасна совершенно не этим, а тем, что можно всем пользователям инстанса насовать в браузер чёрт знает чего, прямо по HTTPS c «зелёным замочком».
| | |
| |
| 2.54, пох. (?), 12:29, 13/07/2023 [^] [^^] [^^^] [ответить]
| +/– | |
вы без контейнера уже ни пернуть, ни вдохнуть не можете вообще ничего? И про бесконечные уязвимости в ваших контейнерах (в том числе на базе переписывания файлов которые в контейнере вообще не должны писаться но вот...опять) уже и не будем. То был бы хоть юзер www, а теперь сразу рут. s for security
> можно всем пользователям инстанса насовать в браузер чёрт знает чего, прямо по HTTPS c «зелёным
> замочком»
владелец инстанса мог это сделать совершенно без необходимости лазить через дырки.
А вот теперь его и самого могут слегка поиметь.
| | |
|
|
