forum.opennet.ru

"В Ghostscript выявлены две новые критические уязвимости"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "В Ghostscript выявлены две новые критические уязвимости"	+/–
Сообщение от Аноним (-), 12-Окт-18, 08:16
> 2 вопроса: Давай я за него отвечу? > 1) Какое именно приложение и при каких условиях инициирует атаку? Например генератор превьюшек документов, внезапно. Который пользовался ghostscript'ом. > 2) Как это приложение настроить, чтобы не инициировать атаку? Снести к чертовой бабушке, например. Но это компромисс: превьюхи документов и картинок в файлобраузилке видно уже не будет, соответственно. А если кто не знал, удобство и безопасность, увы, часто живут по разную сторону баррикад. > Но как этот код прошёл review? Да вообще, как в софте баги появляются... люди же давно уже боги и никогда не ошибаются. А тут вдруг на тебе. > Также я понимаю желание разработчиков DE и imagemagic Да при чем тут imagemagic вообще, если проблема в GS? В нем конечно своих проблем хватает, но не в этот раз.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В Ghostscript выявлены две новые критические уязвимости, opennews, 11-Окт-18, 11:27 [смотреть все]

Привычка запускать всякий мусор из левых источников, типа почты - это неизлечимо, Аноним, 11-Окт-18, 11:27 (1) //
- Если почитать новость, можно узнать что запускать - не обязательно И при чем ту, Аноним, 12-Окт-18, 08:07 (7)
Поправьте, если ошибаюсь Noexec на хомяке тут не поможет же , ryoken, 11-Окт-18, 11:34 (2) //
- От тупого шифровальщика, например, - не поможет Что-то более продвинутое, что т, Аноним, 11-Окт-18, 11:46 (4) //
  - Очень проблематично - положить в более системную диру, предварительно повысив пр, Аноним, 12-Окт-18, 08:11 (8) //
    - В Ghostscript выявлены две новые критические уязвимости, iPony, 12-Окт-18, 08:38 (12)
    - TEMP, iPony, 12-Окт-18, 08:39 (13)
      - На него тоже можно noexec, но это до чудиков реально не допирает как работают ко, Аноним, 12-Окт-18, 10:27 (18)
        
        Естественно можно, но на об этом речи не было А для noexec на temp обязательно , iPony, 12-Окт-18, 10:53 (21)
        
        Если хочется закрутить гайки - сюрпризы возможны Это удивительно Собственно, п, Аноним, 13-Окт-18, 04:46 (28)
        
        Спасибо, КЭП , iPony, 14-Окт-18, 14:37 (32)
  - Ну в bashrc запиши 128221 и радуйся, iPony, 12-Окт-18, 08:42 (14)
ди6илы, 6л Казалось бы, ну каким альтернативноодаренным надо быть, чтобы всуну, Аноним, 11-Окт-18, 11:44 (3) //
- юниксвей забыт и предан забвению , Аноним, 11-Окт-18, 13:16 (5)
- Я хочу сыграть с тобой в одну игру У меня к тебе 2 вопроса 1 Какое именно прил, kai3341, 12-Окт-18, 03:59 (6) //
  - Давай я за него отвечу Например генератор превьюшек документов, внезапно Которы , Аноним, 12-Окт-18, 08:16 (9) //
    - при том что если бы он не занимался ненужным угадавом - gs бы даже не вызвался б, пох, 12-Окт-18, 10:20 (17)
      - Ты хочешь чтобы монстры-переростки занимающиеся кучей дел не были бы монстрами-п, Аноним, 12-Окт-18, 10:44 (19)
        
        да дело-то у imagic вполне ограниченное - портить изображение, ну и иногда зачем, пох, 12-Окт-18, 11:03 (22)
        
        Ну так понапридумывали форматов и вообще, GS много кем используется Я вижу с, Аноним, 13-Окт-18, 09:38 (29)
        
        ps но контекстом для gs надо бы, пожалуй, озаботитьсячисто на всякий случай, пох, 12-Окт-18, 11:07 (24)
    - Так это не случайная ошибка же Случайно дать возможность исполнять произвольный, kai3341, 13-Окт-18, 00:53 (26)
      - Просто многие вещи, особенно старые, не создавались с security in mind Ну вон в, Аноним, 13-Окт-18, 09:47 (30)
  - Я бы задался вопросом, как изменить то, почему этого ревью _нет_ , Аноним, 12-Окт-18, 08:29 (10) //
    - купить машину времени кстати, заодно сравнишь - много ли пользы принесли бестолк, пох, 12-Окт-18, 09:59 (15)
  - загрузчик юзерских фотографий, например необязательно художественных - это могу, пох, 12-Окт-18, 10:14 (16) //
    - До него дело даже не дойдет - тебя поимеют еще тогда когда ты превьюху этого доб, Аноним, 12-Окт-18, 10:53 (20)
      - ну, собственно, превьюху при загрузке он и создает, что ж еще у меня они автокат, пох, 12-Окт-18, 11:06 (23)
        
        Я не понимаю кто такой загрузчик юзерских фотографий Сценарий с авто-поимение, Аноним, 13-Окт-18, 10:17 (31)
    - Цитаты великих людей , KonstantinB, 13-Окт-18, 04:04 (27)
  - О, давай Если данную атаку инициирует приложение, но всяко не на стороне клиента, Ordu, 12-Окт-18, 18:14 (25)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру