forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость во Flatpak, позволяющая повысить привилегии в сис..."
Отправлено X4asd, 23-Июн-17 10:14

> Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости.
дык в новости уже написали реалистичный сценарий...
давай я тебе его скопипащу сюда в сообщение:
"""
атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы).
"""
или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также место действия и название компании где это будет нужно проворачивать?
# P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная чем "не забыть подумать про SUID и capabilities". а именно: нужно не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может быть запущена на компьютере -- и строют всю безопасность вокруг этого надуманного умозаключения

Исходное сообщение
"Уязвимость во Flatpak, позволяющая повысить привилегии в сис..." Отправлено X4asd, 23-Июн-17 10:14
> Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости. дык в новости уже написали реалистичный сценарий... давай я тебе его скопипащу сюда в сообщение: """ атака может быть совершена другим локальным пользователем, который может обратиться к установленным файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае если пакет был установлен администратором для всей системы). """ или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также место действия и название компании где это будет нужно проворачивать? # P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная чем "не забыть подумать про SUID и capabilities". а именно: нужно не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может быть запущена на компьютере -- и строют всю безопасность вокруг этого надуманного умозаключения

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Ну раз ты такой умный, то придумай _реалистичный_ сценарий эксплуатации этой уязвимости. > дык в новости уже написали реалистичный сценарий... > давай я тебе его скопипащу сюда в сообщение: > """ > атака может быть совершена другим локальным пользователем, который может обратиться к установленным > файлам Flatpak и запустить suid-файл напрямую, минуя инструментарий Flatpak, получив полномочия > пользователя, под которым установлены файлы вредоносного Flatpak-пакета (root, в случае > если пакет был установлен администратором для всей системы). > """ > или для тебя "реалистычный" это значит я должен назвать реальные имена жертвы, > злоумышленника, имена команды за спиной злоумышенника и имена администраторов, а также > место действия и название компании где это будет нужно проворачивать? > # P.S.: проблема рассмотренная в этой новости -- конечно же более серъёзная > чем "не забыть подумать про SUID и capabilities". а именно: нужно > не забывать что твой проект это НЕ ЕДИСТВЕННЫЙ на компьютере пользователя. > многие гвнопрограммисты почемуто думают только что якобы ТОЛЬКО единтвенная прорамма может > быть запущена на компьютере -- и строют всю безопасность вокруг этого > надуманного умозаключения
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру