The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS, opennews (?), 27-Ноя-23, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


3. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  –5 +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:32 
Вообще таскать чувствительную информацию в env могли придумать только смузихлёбы.
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +11 +/
Сообщение от Аноним (4), 27-Ноя-23, 14:38 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42 
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  +4 +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 14:42 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

107. Скрыто модератором  –1 +/
Сообщение от нах. (?), 27-Ноя-23, 18:04 
Ответить | Правка | Наверх | Cообщить модератору

113. Скрыто модератором  +1 +/
Сообщение от Аноним (113), 27-Ноя-23, 18:26 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

116. Скрыто модератором  –2 +/
Сообщение от твой анестезиолог (?), 27-Ноя-23, 18:58 
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Рычаг (?), 27-Ноя-23, 15:10 
Ну а по фактам-то есть что сказать? Или только как дедушка выругаться «пук-среньк, смузихлёбы»?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  –1 +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 15:12 
А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Рычаг (?), 27-Ноя-23, 15:19 
Если лежат, то да, а если только передавать, то просто ещё один способ передать значение извне в программу. Прочитал, сделал unsetenv и ходи довольный.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Рычаг (?), 27-Ноя-23, 15:27 
Хм, наверно, если даже и лежат, то тоже ничего страшного. Вот раскрывать переменные окружения куда-то налево это косяк. Всё равно что файл с секретами катнуть в ответ на какой-нибудь запрос.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok), 27-Ноя-23, 16:41 
Ну да ... если бутерброд упал на пол и его успели поднять менее, чем за 5 сек, то считается чистым и можно жрать. Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих. ENV много где прикапывается, а unsetenv логическая операция, она не удаляет данные из памяти и другие копии ENV-ов. В общем случае корректно передавать секреты через пайпы, а не вот так.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

38. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Рычаг (?), 27-Ноя-23, 17:15 
>она не удаляет данные из памяти

А что имеется в виду? Что управление памятью слишком сложно, чтобы считать, что после unsetenv всё пропало? Если на таком уровне рассматривать, то полностью безопасных способов передать секрет не окажется — секрет же всё равно в памяти оказывается, как ни крути.

>не удаляет другие копии ENV-ов

Тут спорить не с чем, разве что вот так возразить: это является проблемой не всегда. Если не отпочковывать новые процессы до setenv, то и не утечёт в другие env-ы.

>передавать секреты через пайпы

Так-то да, но ведь и передающему их нужно взять откуда-то…

Вообще, влезая в разговор про env, я скорее имел в виду, что передавать через окружение не страшнее, чем читать из файла. Да, менее удобно; да, какая-нибудь библиотека может в лог всё окружение «задебажить», но в общем, можно сказать, это такой специфический файл с адресацией.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Рычаг (?), 27-Ноя-23, 17:18 
>Если не отпочковывать новые процессы до setenv

до UNsetenv, UNsetenv.

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (135), 27-Ноя-23, 22:47 
> Сделать unsetenv примерно как надеть на голову пакет и считать что ты спрятался от окружающих.

Примерно как сделать exec() после fork() и думать, что это дофига безопасно.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

143. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (135), 27-Ноя-23, 23:14 
> В общем случае корректно передавать секреты через пайпы, а не вот так.

А кто будет их в пайп оправлять? Админ лично? Или какая-то прога, которая возьмёт их из файла или окружения? (Ба-дум-тссс!)

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

72. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Аноним (72), 27-Ноя-23, 17:31 
А где ж они должны лежать, дорогой ты мой?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

104. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +3 +/
Сообщение от Аноним (104), 27-Ноя-23, 18:02 
В коде, как принято)
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от нах. (?), 27-Ноя-23, 18:05 
в гитхабе и гитляпе, для надежности.

Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Рычаг (?), 27-Ноя-23, 18:08 
Только обязательно рядом комментарий оставить, что ты понимаешь, что так делать нельзя и вообще дико извиняешься, хех.
Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

141. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (135), 27-Ноя-23, 23:06 
    int getRandomNumber()
    {
      return 4; // chosen by fair dice roll
                // guaranteed to be random
    }
Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 19:36 
Биндмаунты делать давно разучились?
etcd тоже отменили?
Ясно-понятно.
Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

120. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Аноним (72), 27-Ноя-23, 19:51 
Ох уж эти «ветераны» «системного» «администрирования». А в etcd ты как попадёшь? На доверии, с нужного айпишника, надеюсь? Или у тебя там один самоподписанный сертификат на все контейнеры со временем жизни в 10 лет? Ясно-понятно.

> Биндмаунты

КЛБ!

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:04 
Вы главное продолжайте хранить пароли в окружении, не стирая таковое до форка.
Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:06 
Что мешает тебе создать инстанс etcd, доступный только с конкретного контейнера?
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

142. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +2 +/
Сообщение от Аноним (135), 27-Ноя-23, 23:09 
Недостаточная степень юникс-ветеранства (этот не вполне изящный термин был введен в повествование, чтобы не использовать неполиткорректное слово, начинающееся на "долбое" и заканчивающийся на "изма").
Ответить | Правка | Наверх | Cообщить модератору

144. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:23 
Поди ещё и вся аппликуха в коньтеноре от рута работает?
Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:25 
Но я уже на эту тему выше отписал.
Отметить NOTABUG и WONTFIX и закрыть.
Чужие кривые руки у себя исправлять - так себе затея.
Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору

147. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:37 
И вообще, способов передать волатильные параметры - 1000+1, но смузихлёбы как всегда выбрали самый удолбищный, который ещё и между процессами наследуется.
Ответить | Правка | К родителю #142 | Наверх | Cообщить модератору

160. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Аноним (160), 28-Ноя-23, 13:45 
Как говорится, есть два стула. На одном придуманная сорок лет назад юникс-дедами система переменных окружения. На другом отдельный инстанс distributed reliable key-value store written in Go доступный только с конкретного контейнера, поднятый для того чтобы приложение почитало из него конфиг и пароли. На какой стул сам сядешь, а на какой смузихлёба посадишь?
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

148. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:38 
Поверь, если у тебя пароли и ключи лежат в ENV - даже один самоподписанный сертификат будет лучше.
Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

130. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +1 +/
Сообщение от Рычаг (?), 27-Ноя-23, 21:19 
И этот человек ещё что-то про смузихлёбов говорил, хех
Ответить | Правка | К родителю #119 | Наверх | Cообщить модератору

139. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:05 
> И этот человек ещё что-то про смузихлёбов говорил, хех

Да и перед exec можете новое окружение не создавать - всё нормально.

Ответить | Правка | Наверх | Cообщить модератору

146. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:26 
Интересно, что этим господам мешало запустить внутри коньтенора сервис с очищенным от внешних параметров env?
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

158. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (135), 28-Ноя-23, 12:57 
То, что ему эти параметры НУЖНЫ?
Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06 
А переложить параметры в файлы конфигурации до запуска религия не позволяет?
Или в смузи-мирке так модно волатильные данные отдавать всем дочерним процессам, пока какой-нибудь не протечёт?
Ответить | Правка | Наверх | Cообщить модератору

168. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 28-Ноя-23, 21:06 
// s/волатильные/сенситивные/
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (135), 27-Ноя-23, 22:46 
> А по фактам - когда в ENV лежат ключи и пароль - это повод взять метлу таки.

Может, начать с того, что если приложение запускается - это уже повод взять метлу?

(Потому что если оно запустилось, то в его памяти хоть что-то интересное, да найдётся)

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

150. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:49 
И вот тут начинается замечательная проблема.
Форкнул ты какой-нибудь ffmpeg для обработки. ENV туда благополучно унаследовался.
Весь этот твой ключ от S3 (который часто один, что не лучше самоподписного сертификата) ему не нужен, и он его не использует.
Но если там найдётся CVE с утечкой памяти процесса в результат - ну, ты понял.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Liin (ok), 27-Ноя-23, 15:57 
Да вобщем ничего страшного в использовании паролей в env нет, только если эту инфу не раскрывают наружу всем, кому ни попадя, как ребята с GetPhpInfo.php, который явно для дебага использовался и по какой-то причине был включен в прод. Хотя, конечно, лишнего в env тоже быть не должно. И если от пароля mysql там толку снаружи не будет, то от пароля админа - может пострадать админка. Разумно надо к этому подходить, взвешивать риски.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

114. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Аноним (113), 27-Ноя-23, 18:28 
Если у злоумышленника есть доступ в env то где бы ты не хранил ключи у него по любому уже есть доступ.
Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в Perl, ownCloud, GStreamer и Zephyr RTOS"  +/
Сообщение от Tron is Whistling (?), 27-Ноя-23, 23:51 
А кто сказал, что env может утечь только через phpinfo?
Любая дыра с утечкой данных из памяти процесса во внешней 3rd-party тулзе - и привет.
Это при том, что самому процессу твой env вообще может быть не нужен, но поскольку его не почистили - он туда и унаследовался.

Мораль?
Чистить env надо после принятия параметров, чистить.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру