forum.opennet.ru

"Уязвимость в Glibc, эксплуатируемая через скрипты на PHP"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Уязвимость в Glibc, эксплуатируемая через скрипты на PHP"	+/–
Сообщение от Аноним (-), 21-Апр-24, 12:55
> Защищённый DRM с SGX-аттестацией Сова просто лопается от ваших попыток натянуть ее на глобус. Давайте тогда еще возьмем бинарник для закрыкой архитектуры проприетарного проца, который не доступен никому. Тоже оооочень жизненный вариант. Но даже если взять ваш пример - то всё тоже возможно. Просто намного дороже)) en.wikipedia.org/wiki/Software_Guard_Extensions#List_of_SGX_vulnerabilities
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в Glibc, эксплуатируемая через скрипты на PHP, opennews, 20-Апр-24, 21:32 [смотреть все]

Си и PHP -- CVE-братья на век , Аноним, 20-Апр-24, 21:32 (1) //
- JS Вы куда без меня Нас же трое братьев , Аноним, 20-Апр-24, 21:43 (5) //
  - Javascript is just C done well c , Аноним, 20-Апр-24, 23:13 (35)
- проблему изучал озабоченный php если ты не озабочен, тебе волноваться не о чём, Аноним, 20-Апр-24, 22:10 (13)
- Самое смешное, что php тут вообще никаким боком, это просто удобный вектор атаки, Аноним, 20-Апр-24, 22:43 (24)
круто, tailznic, 20-Апр-24, 21:38 (2)
Ну и почему нет расследования какой китаец на какой праздник что накоммитил Где, Аноним, 20-Апр-24, 22:17 (15) //
- Очевидно, что iconv мало кто использует в php, а уж вместе с какойто конкретной , 78, 21-Апр-24, 01:31 (56) //
  - И уж тем более очевидно, кто php-код НИКОГДА не работает с данными, которые ввёл, Аноним, 21-Апр-24, 01:49 (60) //
    - ввел, а потом указал что ввел в какойто отличной от дефолтной кодировке, факт, 78, 21-Апр-24, 03:54 (68)
      - Где вы берёте такую густую чушь , Аноним, 21-Апр-24, 08:19 (73)
  - Всё с вами пхпшниками ясно И почему вас постоянно взламывают Информационная бе, Аноним, 21-Апр-24, 08:19 (72)
- Потому чтт если начать раскручивать, внезапно на серьёзных дядек моюно выйти и п, Аноним, 21-Апр-24, 10:29 (82)
Красивое Сомнительная функциональность, конечно, надо бы посмотреть, кто это доб, Аноним, 20-Апр-24, 22:25 (19)
Arch - https security archlinux org CVE-2024-2961 - 404 Not Found , Аноним, 20-Апр-24, 22:26 (20) //
- Пэхэпэ уже атакуют, не дождались , Аноним, 20-Апр-24, 23:01 (29)
- В Arch е CVE-2024-2961 пофиксили уже 3 дня назад https gitlab archlinux org a, Аноним, 21-Апр-24, 00:17 (36) //
  - Проблема в том, что значительная часть пользователей Arch а старается не обновля, Аноним, 21-Апр-24, 01:16 (45) //
    - Значительная часть - это один ты и твой сосед , Аноним, 21-Апр-24, 09:17 (78)
    - старается не обновлять систему, чтобы она не развалилась РЖУ Это как , Аноним, 21-Апр-24, 17:11 (122)
      - Спроси виндузятников У них каждая инструкция по исправлению проблем начинается , Аноним, 23-Апр-24, 01:57 (152)
    - Когда сидел на Arch-е, обновлял постоянно, ничего не отваливалось Ну один раз з, Аноним, 21-Апр-24, 23:47 (137)
      - Было на работе пара любителей арча, раз в три месяца стабильно все нахер развали, Аноним, 23-Апр-24, 11:21 (158)
    - Фиерический бред, вы там с вендой не перепутали , Аноним, 22-Апр-24, 08:52 (141)
    - Каждый день обновляюсь в течение десятков лет Ничего не боюсь, ничего не развал, Аноним, 23-Апр-24, 01:55 (151)
  - Допустим, из-за этого нужно сносить страницу Это только в мире Арча видимо тако, Аноним, 21-Апр-24, 01:29 (51) //
    - А она когдато была чтоб ее сносить , Аноним, 22-Апр-24, 08:58 (142)
Который раз уже замечаю, что в новостях о какой-то CVE, ссылка на федору ведёт н, Аноним, 20-Апр-24, 22:31 (21) //
- Федора 8212 корпоративный продукт, соответственно, поиск по CVE в багзилле м, Аноним, 20-Апр-24, 23:02 (30) //
  - Ага, а RHEL, у которой с сылкой всё нормально, стало быть не корпоративный проду, Аноним, 21-Апр-24, 01:31 (55)
- У Федоры ссылку хорошо б поправить на более детальный поиск https bodhi fedor, anonymplusplus, 21-Апр-24, 02:50 (63) //
  - Бхах Сходил по ссылке Internal Server Error , Аноним, 21-Апр-24, 17:09 (120) //
    - Какой дистрибутив - так и работает , Андрей, 22-Апр-24, 04:57 (139)
    - Пробел и кавычки в конце ссылки лишние https bodhi fedoraproject org updates , Аноним, 22-Апр-24, 18:31 (147)
Ахаха, ой не могу if outptr 4 outend , Аноним, 21-Апр-24, 00:37 (37) //
- Те, кому нужен правильный размер буфера, на Си не пишут Достоинство Си 8212 н, Аноним, 21-Апр-24, 00:43 (38) //
  - О, так это же так называемое динамическое расширение функционала программы Пра, Аноним, 21-Апр-24, 00:57 (39) //
    - Всё зависит от задачи Иногда зайти в систему через заднюю дверь бывает полезн, Аноним, 21-Апр-24, 01:12 (43)
      - То есть любой сетевой сервис на планете, получается Потому что даже сервис на р, Аноним, 21-Апр-24, 01:27 (48)
        
        Растофанатики напоминают борцов с изменением климата Только говорят но реальной, Аноним, 21-Апр-24, 08:28 (74)
        Да написали уже давно Но в Linux Линус его тащить не спешит , Аноним, 21-Апр-24, 12:30 (87)
        
        даже целую ось, ресдох написали, только никто на нее бежать не спешит варвары , тыквенное латте, 21-Апр-24, 13:04 (90)
- Можно подумать хруст на этапе коньэпиляции узнает сколько данных прилетит в буфф, Аноним, 21-Апр-24, 01:56 (61) //
  - Раст знает размер буфера И при попытке записать больше программа упадет с логом, Аноним, 21-Апр-24, 13:32 (93) //
    - угу, вот для примера CVE-2021-25900 тысячи их , ржавый переписал память, и упал, тыквенное латте, 21-Апр-24, 13:56 (94)
      - Как то для других языков удается получить краш репорт с сигабртом, а тут не возм, Аноним, 21-Апр-24, 17:25 (125)
Все хоронят Пыху, а он живучий оказался Если бы он не использовался, уязвимости, Аноним, 21-Апр-24, 03:00 (64) //
- Хоронят программисты так как что-то понимают ,а откапывают предприниматели так, Аноним, 21-Апр-24, 03:17 (65)
- Он такой же живучий, как кувалда вместо шуруповёрта есть тысячи леммингов, кото, Аноним, 21-Апр-24, 17:07 (119) //
  - если приглядеться к ЯП и технологиям, применяемым в вебе, около него и во многом, Бывалый Смузихлёб, 22-Апр-24, 11:34 (144) //
    - Надо писать веб на языке Hack, как это делает Meta Platforms , Аноним, 22-Апр-24, 18:36 (148)
      - это тот у которого реакт и реакт-натив , Бывалый Смузихлёб, 23-Апр-24, 13:50 (159)
и это в стандартной либе, а что же творится в миллионах васянских либ , Аноним, 21-Апр-24, 08:13 (71) //
- Да на тот же вордпресс посмотри и плагины к нему Проще ssh порт оставить без па, Аноним, 21-Апр-24, 08:30 (75)
- Проприетарный код недоступен для анализа , Аноним, 21-Апр-24, 08:41 (77) //
  - Доступен Просто ты про не в курсе, какие варианты для этого возможны А открыты, n00by, 21-Апр-24, 10:11 (80) //
    - Варианты, которые не вписываются в экономику, существуют, в основном, лишь гипот, Аноним, 23-Апр-24, 02:12 (153)
      - Открытый код приведён в сообщении 103 Вместо указания на очевидную ошибку, ты о, n00by, 23-Апр-24, 10:48 (157)
  - Любой бинарник доступен для анализа Для этого даже код не нужен А вот сложность, Аноним, 21-Апр-24, 11:12 (83) //
    - Защищённый DRM с SGX-аттестацией заливается общий анклав, выполняющий произволь, Аноним, 21-Апр-24, 12:36 (88)
      - Сова просто лопается от ваших попыток натянуть ее на глобус Давайте тогда еще во , Аноним, 21-Апр-24, 12:55 (89)
    - Проверим гипотезу практикой Как раз из glibc code define internal_syscall4 v0_i, n00by, 21-Апр-24, 15:43 (103)
      - Куда же пропали эксперты Если ответа не будет, на местом сообществе анализато, n00by, 22-Апр-24, 09:19 (143)
        
        define internal_syscall4 v0_init, input, number, arg1, arg2, arg3, arg4 , Аноним, 22-Апр-24, 19:12 (149)
        
        5 1 1 2 Translation phases2 Each instance of a backslash character immedia, n00by, 23-Апр-24, 10:34 (156)
        
        Однако, обсуждаемую уязвимость нашел не ты, а Тысячеглаз 0 1 в его пользу , Аноним, 23-Апр-24, 02:15 (154)
        
        Я понимаю, что ты не способен увидеть очевидную проблему с кодом выше, но оправд, n00by, 23-Апр-24, 10:30 (155)
    - Серьёзные ничего не анализируют Серьёзные вставляют сразу в код всё что нужно , Аноним, 21-Апр-24, 15:46 (105)
А меня защищает SELinux , Аноним, 21-Апр-24, 08:37 (76)
Какие ещё приложения так можно поиметь Firefox можно , Аноним, 21-Апр-24, 10:27 (81)
Прикольно 23 года в одной и самых распространенных и важных либ была дырка Но т, Аноним, 21-Апр-24, 11:28 (84) //
- Ну бесплатно работать не все любят Особенно те, кто могут работать платно за бо, Аноним, 21-Апр-24, 12:28 (86)
- Ты абсолютно не представляешь себе процесс поиска уязвимостей Это сродни поиска, Аноним, 21-Апр-24, 13:28 (92) //
  - Ну да, ну да Скорее сродни ковырянию в большой зловонной куче Покажи, пожалуйст, Аноним, 21-Апр-24, 14:40 (95) //
    - Минтачку, а Вы думали что Васян и профи на зарплате - два разных человека , Прадед, 21-Апр-24, 15:32 (98)
    - Разве я где-нибудь сказал, что сотни - это васяны из Сообщества Я как раз име, Аноним, 21-Апр-24, 15:38 (101)
      - Кроме как говорить, нужно еще читать уметь Перечитай первое сообщение тредаСотн, Аноним, 21-Апр-24, 17:24 (124)
  - Есть уязвимости, которые прям специально ищут типа выход из контейнера , а есть, Аноним, 21-Апр-24, 17:02 (118)
  - порой дыры отыскивают, исследуя не совсем ожидаемое поведение кода, а то и вылет, Бывалый Смузихлёб, 22-Апр-24, 11:42 (145)
- Да может этот код ВПЕРВЫЕ прогнали через какую-нть PVS-studio - вот и нашёлся ку, Аноним, 21-Апр-24, 17:00 (116)
Хорошо что есть PHP - есть на кого спихнуть проблемы в glibc и iconv, Аноним, 21-Апр-24, 13:24 (91)
24 года уязвимости А как же миллионы глаз, как же сообщество GNU-тых людей Как, zog, 21-Апр-24, 15:34 (100) //
- Так нашли же, Аноним, 21-Апр-24, 16:00 (107) //
  - Через 24 года Я практически уверен, что товарищ майор нашёл это гораздо раньше , zog, 21-Апр-24, 16:21 (108) //
    - Да не факт Бывают же и просто уязвимости Сам же понимаешь - FOSS - это н, Аноним, 21-Апр-24, 16:52 (112)
      - Какая разница, просто не просто В соответствующих органах такие просто уязвимо, zog, 21-Апр-24, 17:27 (126)
- Миллионы глаз только смотрят, чтобы софт был нахаляву А код - ну кому интере, Аноним, 21-Апр-24, 16:55 (114)
Я подготовил исправление для EL9 в рамках Rocky Linux SIG Security https sig-s, solardiz, 21-Апр-24, 17:09 (121)
так что, теперь меня взломают как от это защититься , Аноним, 22-Апр-24, 02:29 (138) //
- почему именно теперь Всегда , Мухорчатый, 22-Апр-24, 08:50 (140)
- Пользуйтесь дистрибутивами с SELinux , Аноним, 22-Апр-24, 12:47 (146)
- Лучшая защита - это нападение, Прадед, 22-Апр-24, 23:48 (150)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру