forum.opennet.ru

"Уязвимости в утилите fsck для F2FS, позволяющие выполнить код на этапе проверки ФС"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

"Уязвимости в утилите fsck для F2FS, позволяющие выполнить код на этапе проверки ФС"	+/–
Сообщение от opennews (ok), 15-Окт-20, 23:51
В штатной утилите fsck для файловой системы F2FS, предназначенной для работы с накопителями на основе Flash-памяти, выявлены две уязвимости (CVE-2020-6105, CVE-2020-6108), приводящие к перезаписи областей памяти за пределами выделенного буфера при проверке специально модифицированной файловой системы. Уязвимости могут быть эксплуатированы для выполнение кода с правами суперпользователя во время проверки ФС. Проблемы устранены в пакете f2fs-tools 1.14... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53896
Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимости в утилите fsck для F2FS, позволяющие выполнить код на этапе проверки ФС, opennews, 15-Окт-20, 23:51 [смотреть все]

rust не нужен говорили они C не дыра в головах разработчика говорили ониах , JL2001, 15-Окт-20, 23:51 (1) //
- а теперь пожалуйста пример кода на раст без unsafe при работе с файловыми систем, анонимуслинус, 16-Окт-20, 00:25 (6) //
  - Вот пример кода, который записывает несколько байт в файловый дескриптор 8470 , Аноним, 16-Окт-20, 00:43 (8) //
    - Это не пример работы с файловой системой А запись в файл сделает уже другая прог, Аноним, 16-Окт-20, 01:08 (9)
      - А не ты очень умный, да rust-program file, Ананимус, 17-Окт-20, 14:23 (74)
        
        Не включайте дурака, за открытие файла и запись в него в данном случае отвечает , Аноним, 18-Окт-20, 12:36 (77)
        
        За открытие файла отвечает шелл За запись отвечает программа, лол Или по твоем, Ананимус, 19-Окт-20, 17:26 (79)
        
        Просили показать работу с файловой системой без unsafeВот на этом вы сами постав, Аноним, 19-Окт-20, 17:37 (81)
        
        Сделай open сам, кто тебе мешает-то D, Ананимус, 19-Окт-20, 17:39 (82)
        code fn main , анонн, 19-Окт-20, 17:54 (84)
        
        А потом мы берем, открывает исходники, и ищем unsafe внутри вызываемых функций и, Аноним, 19-Окт-20, 18:03 (85)
        
        И находим их в libc Вопрос в том, что это меняет-то Сам вызов std fs File вп, Ананимус, 19-Окт-20, 18:42 (89)
        
        Вот например, страшный и ужасный unsafe в работе с файлами let fd cv, Ананимус, 19-Окт-20, 18:49 (90)
        Комментаторы хором Во-о-о-оот Мы так и знали Вариант анекдота про челябинск, анонн, 19-Окт-20, 18:58 (92)
        
        Поправил, не благодарите , анонн, 19-Окт-20, 18:51 (91)
        
        Просвещайся, лалка cat test c include err h include stdio h include sys s, Ананимус, 19-Окт-20, 17:37 (80)
        
        Каюсь, был не прав Но зато как мы быстро перешли к Си Один фиг файловый дескрип, Аноним, 19-Окт-20, 17:44 (83)
        
        Ну раста-то ты не знаешь Нет, он появляется через open В расте open делается , Ананимус, 19-Окт-20, 18:22 (86)
        
        ну он может скрываться внутри вызовов File open, тут надо смотреть исходники, Аноним, 19-Окт-20, 18:27 (87)
        
        Он точно скрывается в вызовах крейта libc, вопрос в том, что скрывается он там п, Ананимус, 19-Окт-20, 18:32 (88)
        
        Т е возвращаясь к исходному вопросуОтдельно замечу - корректность кода в unsafe, Аноним, 19-Окт-20, 19:01 (93)
        unsafe конкретно в работе с файлами нет Т е функции, которые ты дергаешь std , Ананимус, 19-Окт-20, 19:05 (94)
        Ну как бы о чем и была в начале речь, без unsafe вы не можете открыть файл Я хз , Аноним, 19-Окт-20, 19:12 (96)
        Потому что разговор шел в контексте очередной сишной дыры с памятью , Ананимус, 19-Окт-20, 19:29 (97)
        Ну я прицепился к тому, что без unsafe можно с файлами работать imho низкоуровне, Аноним, 19-Окт-20, 22:16 (98)
        Откуда этот вывод-то , Ананимус, 19-Окт-20, 22:28 (99)
        потому что в этой области придется обмазаться unsafe по самое немогу Если я пр, Аноним, 20-Окт-20, 03:09 (100)
        И этот вывод сделан откуда В работе с файлами, как мы только что выяснили, unsa, Ананимус, 20-Окт-20, 07:17 (101)
        Я про область написания драйверов, т е прямая работа с железом Вы наверное спец, Аноним, 20-Окт-20, 12:21 (102)
        Признайся, ты драйвера в глаза не видел , Ананимус, 20-Окт-20, 12:59 (103)
        unsafe конкретно в работе с файлами нет Т е функции, которые ты дергаешь std, Ананимус, 19-Окт-20, 19:05 (95)
        
        а он и не выключал , якиткосатка, 23-Окт-20, 22:44 (104)
    - огнепоклонники раста так и не поняли, что вся эта хваленая безопасность раста то, анонимуслинус, 16-Окт-20, 10:21 (38)
      - вот же тупые Судя по неспособности смузихлебов написать программу работы с файл, Аноним, 16-Окт-20, 12:15 (44)
      - вон там выше в новости ошибка при работе с железом или ошибка при работе с обыч, JL2001, 16-Окт-20, 12:18 (45)
        
        fsck утилита однозначного и полного владения памятью, в данном случае памятью фл, анонимуслинус, 16-Окт-20, 17:55 (58)
        
        любому нормальному программисту это очевидно , Аноним, 16-Окт-20, 18:36 (61)
        почему , Аноним, 16-Окт-20, 19:25 (62)
        А все почему А все потому что гладиолус советую ознакомится с матчастью, а не, анонн, 16-Окт-20, 21:21 (64)
        
        вам само название unsafe ничего не говорит нет ну ладно это незащищенный от о, анонимуслинус, 16-Окт-20, 22:39 (65)
        
        ---The only things that are different in Unsafe Rust are that you can Dereferenc, анонн, 17-Окт-20, 14:07 (73)
        Сразу видно человека который хорошо разбирается в языках программированияОтварит, Аноним, 17-Окт-20, 16:37 (75)
        
        Обращайтесь Ничем и многим есть нюансы, но мне лень гадать, на что типа намека, анонн, 17-Окт-20, 19:27 (76)
        
        почему его , JL2001, 17-Окт-20, 00:37 (67)
  - Это наверное просто вы сами ниасилили со своим Си-головного-мозга или просто най, Аноним, 16-Окт-20, 13:26 (49)
  - Что значит пожалуйста А платить кто будет 15 млн не меньше ваша просьба стоит, Аноним, 16-Окт-20, 17:39 (54)
- Ну не неси чушь, а Bounds checking прекрасно делается в любом языке И тормоза , Crazy Alex, 16-Окт-20, 01:16 (10) //
  - в расте 3 4 bounds checking - времени компиляции, не , JL2001, 16-Окт-20, 01:38 (11) //
    - Не-не , Аноним, 16-Окт-20, 07:29 (21)
  - Если у тебя вместо массивов, указатели на неопределенную область памяти без гран, Аноним, 16-Окт-20, 07:39 (22) //
    - а зачем такая неопределённая область памяти то драйвер всегда знает чего и скол, JL2001, 16-Окт-20, 12:22 (46)
      - И как сие принуждение избавляет от ошибок при вписывании проверки границ , qwe, 16-Окт-20, 15:35 (52)
      - Жесть какая А если у меня попадание указателя в выделенную память гарантируется, Сишник, 16-Окт-20, 17:52 (57)
        
        в расте компилятор по слухам умеет достаточно неплохо вычислять диапозоны знач, JL2001, 17-Окт-20, 00:35 (66)
        
        Не только раст так умеет, java тоже например, но там это работает только в прост, Сишник, 17-Окт-20, 12:03 (71)
- Даже если и предположить что Раст может защитить от случайной уязвимости, что не, Аноним, 16-Окт-20, 08:09 (29) //
  - не мешайте тёплое с мягким , JL2001, 16-Окт-20, 12:49 (47)
- И что тогда от fsf останется , Enik, 16-Окт-20, 09:11 (31)
- Это кому как Людям, отрицающим уязвимости линукса и доказывающим что они не уяз, Ordu, 16-Окт-20, 10:39 (40) //
  - Kuzma s mother , Michael Shigorin, 16-Окт-20, 13:17 (48) //
    - Я достаточно точно выразился никакая мать не поможет Мышление выправить себе м, Ordu, 16-Окт-20, 13:42 (50)
- https www opennet ru openforum vsluhforumID3 122119 html 96Раст не нужен С нуж, Аноним, 16-Окт-20, 12:04 (43)
- фрактал, как ты уже надоел в каждой теме свой фанатизм выпячивать почему тебе, ведмедев, 16-Окт-20, 15:28 (51)
- А то раст не дыра Ещё какая - на гитхабчике вашего любимого раста 5к багов вис, Сишник, 16-Окт-20, 18:16 (59)
- Раст безопасен говорили они На расте легко писать говорили они Они говорили и г, Аноним, 16-Окт-20, 20:51 (63)
- не пробовал вместо комментариев на опеннете код писать показал бы всем, как над, Аноним, 17-Окт-20, 02:32 (69)
Ждём визжащих про неправильных программистов сишников , Ананимус, 15-Окт-20, 23:53 (2)
При этом для эксплуатации уязвимости атакующий должен иметь физический доступ к, topin89, 16-Окт-20, 00:00 (3) //
- Так через флэшку же можно или ещё как , anonymous, 16-Окт-20, 00:33 (7) //
  - В смартфоне ч з флешку Круто , Аноним, 16-Окт-20, 06:29 (15) //
    - По моему уже все смартфоны умеют OTG Через него можно подключит флешку , Аноним, 16-Окт-20, 06:35 (17)
      - Чтобы взломать или зловреда посадить , Аноним, 16-Окт-20, 07:39 (23)
        
        Посадить зловреда, который сольёт все ключи и пароли, а так же предоставит полны, Аноним, 16-Окт-20, 08:00 (26)
        
        Зачем ему сажать зловреда от рута, когда у него итак есть рут и ещё и флешка вст, 1, 16-Окт-20, 09:31 (32)
        
        Зачем злоумышленнику root Yеужели Ваша DE требует пароля при подключении флешки, Аноним, 16-Окт-20, 09:50 (34)
        
        Как запустить fsck флешки на телефоне если там просят пинкод , Аноним, 16-Окт-20, 17:43 (55)
    - Почему только смартфон F2FS доступна только на смартфонах А вообще да, это, нап, anonymous, 17-Окт-20, 12:32 (72)
- Часто телефон можно увести в специальный режим, позволяющий читать писать флешку, kmeaw, 16-Окт-20, 02:03 (12)
Ключевые слова f2fs, fsck, f , Аноним, 16-Окт-20, 00:08 (5)
Астрологи объявили неделю уязвимостей в линукс, Анонимный, 16-Окт-20, 05:57 (13) //
- При этом любая эксплуатация уязвимости в Linux а также процесс заражения злов, Аноним, 16-Окт-20, 06:31 (16) //
  - Инженеры из компании Google выявили серьёзную уязвимость CVE-2020-12351 в своб, Аноним, 16-Окт-20, 06:46 (18) //
    - Кто-то держит включенный Bluetooth, скажем, на ноутбуке Ну чепуха же Где вижу о, Аноним, 16-Окт-20, 07:51 (25)
      - Где то он не включен по умолчанию Или каждый пользователь Linux это компьютерны, Аноним, 16-Окт-20, 08:08 (28)
      - Связываю телефон с компьютером через блютуз для звонка через компьютер Так что , Аноним, 16-Окт-20, 11:46 (42)
      - Кажется Apple держит По крайней мере на планшете он не вырубается Точнее выруб, Аноним, 16-Окт-20, 17:45 (56)
        
        Не врубается сам, легко можно нечаянно включить, но новость с уязвимостью про др, Карабьян, 17-Окт-20, 00:44 (68)
Так это же хорошо Загрузчики и андроиды рутовать можно, Козлетто, 16-Окт-20, 06:57 (19) //
- Вот и китайский товарищмайор так же думают, а то палкувжоппу, как у вас, рюйских, пох., 16-Окт-20, 09:06 (30)
F2FS эта та самая файловая система, которая до сих пор не стабилизировала свой ф, Аноним, 16-Окт-20, 09:44 (33) //
- Нет, то была другая , Аноним, 16-Окт-20, 10:14 (37)
- Это btrfs,до сих пор , microsoft, 16-Окт-20, 18:35 (60) //
  - ЧТо за чушь The filesystem disk format is stable https btrfs wiki kernel org , Аноним, 17-Окт-20, 08:14 (70) //
    - Там же The Btrfs code base is under heavy development Это, в общем-то, всё, ч, vakorol, 19-Окт-20, 12:02 (78)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру