forum.opennet.ru

"Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к фай..."	+/–
Сообщение от YetAnotherOnanym (ok), 06-Авг-22, 09:43
Чтобы не лажаться с чем бы то ни было, надо думать головой. А владельцу бизнеса или лицу, принимающему решения - думать головой, чтобы наннимать разрабов, которые думают головой. А на случай лажи, которую почему-то не получилось избежать - да, использовать в том числе и capability-based security model.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость в HTTP-сервере muhttpd, открываяющая доступ к файлам вне рабочего каталога, opennews, 05-Авг-22, 17:52 [смотреть все]

Не уязвимость, а канал доступа Красиво, вряд ли только сейчас нашли Это пример, Аноним, 05-Авг-22, 17:52 (1) //
- А писали бы на единственной безопасном и быстром языке Carbon, то уязвимость они, Аноним, 05-Авг-22, 17:58 (3) //
  - Что-то подсказывает что лажаться с обработкой путей кодеры будут одинаково, хоть, Аноним, 05-Авг-22, 18:36 (9) //
    - Чтобы не лажаться с обработкой путей, нужна capability-based security model Но , Аноним, 05-Авг-22, 18:55 (16)
      - которую изобрели в unix системах, Аноним, 05-Авг-22, 23:09 (41)
      - В линухе оно даже есть Как и контейнеры позволяющие довольно эффективно отрезат, Аноним, 06-Авг-22, 00:22 (46)
        
        Правильно, пока ты будешь имплементировать свою продуманную архитектуру, санитиз, YetAnotherOnanym, 06-Авг-22, 09:49 (57)
        
        Ну да, ну да, поэтому хомякам придется жить с д рьмовыми железками где фирварь п, Аноним, 06-Авг-22, 21:24 (64)
      - Чтобы не лажаться с чем бы то ни было, надо думать головой А владельцу бизнеса , YetAnotherOnanym, 06-Авг-22, 09:43 (56)
  - Странно, а я думал, что быстрый и безопасный это раст Учу программирование стро, Аноним, 10-Авг-22, 17:06 (90)
- А вот ужасный сустемдэ своим сервисом изолировал бы юзерспейс , Аноним, 05-Авг-22, 21:53 (36) //
  - Он 2 метра RAM жрет, а в том крапе всей оперативы 16 32 мега и ее впритык , Аноним, 06-Авг-22, 00:23 (47)
  - Ты бы еще в докере предложил запустить , Аноним, 06-Авг-22, 10:00 (58)
Ох уж эти писатели на js Смузихлёбы Бу-бу-бу А хотя подождите Неужели богопо, anonym13, 05-Авг-22, 17:57 (2) //
- Твой мир сейчас перевернетсяс ног на голову, но уязвимость можно оставлять даже, Аноним, 05-Авг-22, 17:59 (4)
- А где ты там C нашёл , Аноним, 05-Авг-22, 18:14 (6)
- Ох уж эти писатели на js Смузихлёбы Бу-бу-бу А хотя подождите-ка, смузихлёбы , Аноним, 05-Авг-22, 18:23 (7) //
  - А разве находился хоть раз защитник сишки, способный отличить java от javascript, Аноним, 05-Авг-22, 18:48 (15) //
    - Всегда тут был, но ты в это не поверишь , Аноним, 05-Авг-22, 18:56 (19)
      - И чем эти 2 интерпретируемые смузиязычка отличаются , Аноним, 05-Авг-22, 19:02 (22)
        
        Там что джава рулит, а джаваскрипт сосёт , Аноним, 05-Авг-22, 19:10 (24)
    - Тут большинство умеющих в Си, умеют и в js и в java и во много ещё что , Аноним, 05-Авг-22, 19:33 (27)
      - Но не умеют в корректный hello world на Сишке Это мы уже проверяли в прошлых , Аноним, 05-Авг-22, 20:04 (31)
        
        Предлагаю различать тех кто умеет и считает, что умеет Первых тут тоже хват, Аноним, 05-Авг-22, 21:55 (37)
- Вон то можно влепить на любом ЯПе Ну а если ты думаешь что офигенно умный, можеш, Аноним, 05-Авг-22, 18:41 (12)
Взоржал , Аноним, 05-Авг-22, 18:30 (8)
Ужас какой Вы прикрывайте дырки, а то имеет все кто хочит , Аноним, 05-Авг-22, 19:02 (21)
Ну и дырыще , Аноним, 05-Авг-22, 19:12 (25)
Вот тебе и дебиан , Аноним, 05-Авг-22, 19:43 (30) //
- Нет такого пакета в этой репе Сектор Б на барабане Поздравляем, Вы - банкрот , Аноним, 06-Авг-22, 00:27 (48)
Даже и не знал что такой сервер вообще есть , BrainFucker, 05-Авг-22, 20:16 (32)
Эффективный опенсорс , Аноним, 05-Авг-22, 20:27 (33)
Но это, конечно же, были ненастоящие программисты на C Настоящие такой лажи ник, Аноним, 05-Авг-22, 20:51 (34)
Падаждите, а куда смотрели тысячи глаз На три другие стены , Аноним, 05-Авг-22, 21:10 (35) //
- вытекли , Sw00p aka Jerom, 05-Авг-22, 22:02 (38)
- Они как раз и нашли эти уязвимости , Аноним, 05-Авг-22, 23:12 (42) //
  - Ахаха, ты серьезно Проблема присутствует начиная с самой первой версии muhttpd , Анонн, 06-Авг-22, 00:13 (45)
- Учитывая, что я вообще впервые слышу про такой веб-сервер, глаз там было по числ, Аноним, 06-Авг-22, 01:10 (50) //
  - Ну ты может и в первый раз слышишь, а его используют серьезные ынтерпрайз контор, Аноним, 06-Авг-22, 19:51 (63)
На расте такой дыры не было бы , karl93rus, 05-Авг-22, 22:20 (39) //
- Слышал песню от группы Ленинград под названием Дорожная , Аноним, 05-Авг-22, 22:35 (40)
- Растишка втуда где это используется без утрамбовки не залезет , Онаним, 05-Авг-22, 23:18 (44)
- В расте такая болезненная работа с путями, что там даже никогда не заметили бы п, Cucumber, 06-Авг-22, 05:17 (52) //
  - В смысле, кодер за тся кодить быстрее чем вообще сервак родит Тоже вариант Н, Аноним, 06-Авг-22, 06:28 (53) //
    - Rust палочкой не тыкали Это C и C палочкой не тыкали, с rust ом же всё резко , Аноним, 06-Авг-22, 11:47 (60)
      - Что це таке Какие-то проприентарщики с очередным qualified rust toolchain кот, Аноним, 06-Авг-22, 21:45 (65)
  - Интересно а в всем этом не будет новых бонусных вулнов как это уже было в их std, Аноним, 06-Авг-22, 21:46 (66)
muahahahttpdНу конечно разработчики эмбедовки тоже кони ещё те С цирком http, Онаним, 05-Авг-22, 23:17 (43) //
- Да это обычно обдолбаные узкоглазики которые койкак слабали вообще и скорее прод, Аноним, 06-Авг-22, 00:29 (49)
Недырявый домашний роутер - это что-то вообще из области фантастики Хотите за 3, Аноним, 06-Авг-22, 04:41 (51) //
- Никакой фантастики Дайте железо и дрова, а линукс и прочий софт я сам накачу А, anonymous, 13-Авг-22, 06:24 (93)
О существовании некоторых вебсерверов и некоторого другого софта узнаешь из со, Sylvia, 06-Авг-22, 08:06 (54)
muhttpd щито , abu, 06-Авг-22, 09:23 (55)
То что модератор удалил все комментарии про то что уязвимость очевидно вставлена, Аноним, 06-Авг-22, 10:01 (59)
20 лет назад иис дежавю , Аноним, 06-Авг-22, 18:20 (61)
дайте угадаю, следующая найденная там уязвимость будет GET , Аноним, 06-Авг-22, 19:19 (62) //
- Настоящий хакер крякер тем более работает с сетью только через браузер , Аноним, 07-Авг-22, 21:15 (69)
- Ты что, хакир, что ли , Пароним, 08-Авг-22, 02:40 (70)
extern char environ int clearenv void We would like to free previously s, burjui, 07-Авг-22, 04:49 (67) //
- А что тебе не нравится , Аноним, 08-Авг-22, 09:28 (71) //
  - Серьёзно Местных сишников послушать - так они лучшие в мире и никогда не делают, burjui, 08-Авг-22, 11:21 (72) //
    - Это всё, что ты перечислил, стилевые придирки Которые совершенно нерелевантны д, Аноним, 08-Авг-22, 13:39 (73)
      - Какое отношение всё это имеет к обсуждаемой функции Какое обобщение Я вообщ, burjui, 08-Авг-22, 14:55 (74)
        
        Да, я знаю, именно поэтому мне пришлось об этом говорить Если рассмотреть функц, Аноним, 08-Авг-22, 20:04 (76)
        
        Нет, мне не стало понятнее, с чего вдруг ты вообще заговорил про обобщение и выд, burjui, 08-Авг-22, 23:27 (77)
        
        Я не знаю чем тут можно помочь Могу ещё попробовать так есть разные причины вы, Аноним, 09-Авг-22, 13:30 (81)
        
        Намного короче и понятнее, чем предыдущие портянки текста Более того, можно был, burjui, 09-Авг-22, 13:45 (82)
        
        А, у тебя проблемы с длинными предложениями Надо простые писать Не осложнённые, Аноним, 09-Авг-22, 15:32 (86)
    - Вообще нет NULL - это не ноль NULL - это именно специальное значение NULL, кот, Аноним, 09-Авг-22, 10:50 (78)
      - Понятно, здесь не умеют гуглить Так и быть, сделаю это за вас https www open-, burjui, 09-Авг-22, 13:10 (79)
        
        Теперь погугли, что делает calloc кастует нулевые байты в нулевые указатели , Аноним, 09-Авг-22, 13:50 (83)
        
        Это уже все рамки разумного переходит Во-первых, кастовать не обязательно An i, burjui, 09-Авг-22, 14:03 (84)
        
        Является ли блок из нулевых байтов An integer constant expression with the valu, Аноним, 09-Авг-22, 14:16 (85)
        
        Знаешь, а ты прав Я тут почитал доп инфу и понял, что могут быть архитектуры, , burjui, 10-Авг-22, 14:03 (87)
        
        Вот ты лучше расскажи своей логикой растомана Почему, записывая массив байтов и, Аноним, 10-Авг-22, 15:02 (89)
        
        Вообще-то, это обычная логика По-твоему, логично, что сущность с названием null, burjui, 10-Авг-22, 20:46 (91)
        
        Ты прочитал, что делает calloc Правильно Выделяет массив байт и обнуляет этот м, Аноним, 11-Авг-22, 21:14 (92)
    - Итак, после обсуждения ниже выяснилось, что в C, когда имеешь дело с указателями, burjui, 10-Авг-22, 14:12 (88)
  - Он как ыксперт по безопасным каракулям руст не разобрался в опасных каракулях си, Аноним, 08-Авг-22, 16:13 (75) //
    - Очередной бессмысленный комментарий от очередного недалёкого анона Бессмысленны, burjui, 09-Авг-22, 13:15 (80)
Ожидал всего что угодно, но такого Они просто читают файл по относительному пут, Аноним, 07-Авг-22, 18:03 (68)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру