The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от opennews (??), 12-Июл-23, 16:58 
Несколько недавно выявленных опасных уязвимостей:...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59430

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (1), 12-Июл-23, 16:58 
Ghostscript который раз штопают, а он всё продолжает рваться. Может, там какую-нибудь ба-а-а-альшую заплатку прифигарить, чтобы уж пофиксить как-то это безобразие?
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  –3 +/
Сообщение от Аноним (3), 12-Июл-23, 17:35 
Это корпоративный бэкдор, типа avahi или networkmanager.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (12), 12-Июл-23, 20:21 
networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (3), 13-Июл-23, 09:29 
Нет, внедряют в дистрибутивы, чтобы вендорлок. Ну и пользователи любят обмазываться бэкдорами.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (-), 14-Июл-23, 23:07 
Он из большинства дистров без проблем сносится. И является лишь 1 из опций, даже не везде дефолтной. Просто оно умеет большую часть того что на десктопе или ноуте обычно юзерам надо, ну вот его и ставят.

У меня на дебиане и даже убунтах его много где нет. Вообще ни на что не влияет, кроме того что теперь вы не получите вон ту гуйную приблуду в трее или что там за (экто)плазма у вас была для настройки вафель и проч - и таки пойдете сетапить сие мануально.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +1 +/
Сообщение от Аноним (33), 14-Июл-23, 23:04 
> networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?

Чтобы среднего пошиба юзерь мог настроить конект к вафле какой, особенно энтерпрайзной, не слетев с катушек при этом. Не то чтобы это иначе нельзя - но это уже для хардкорных фриков.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

36. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Анониссимусemail (?), 21-Июл-23, 00:56 
Да, я как-то раз поднимал вафлю через wpa_supplicant. Нажрался кактусов вдоволь, больше не хочется. Но и network manager -- то ещё гoвнище. К сожалению, нормальных инструментов для wifi не завезли.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +1 +/
Сообщение от User (??), 12-Июл-23, 20:02 
"Знал бы - сразу молнию пришил!"(С)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  –1 +/
Сообщение от Аноним (22), 12-Июл-23, 23:49 
боььшой заплаткой будет создание ghostscript API- и ABI-совместимой обёртки над pdfbox, который написано на безопасном по памяти языке Javz. И выкинуть этот ghostscript в мусор. всё равно кроме PDF важных кейсов нет, а выполниять postscript - это уже само remote code execution, даже ломать ничего не надо, штатной функциональности хватает.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

31. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Да ну нахер (?), 14-Июл-23, 12:30 
>на безопасном по памяти языке Javz

Безопасным является только язык Карбон.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +6 +/
Сообщение от Юморист без диплома (?), 12-Июл-23, 17:14 
Мало кто знает, что EVALSHA это феминитив.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +6 +/
Сообщение от Аноним (12), 12-Июл-23, 20:17 
Мало кто знает, что такое феминитив. ))
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от some (??), 14-Июл-23, 21:52 
Боюсь спросить, какие у неё трудовые обязанности =)))
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

4. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  –1 +/
Сообщение от Quad Romb (ok), 12-Июл-23, 18:12 
Тут как-то проскакивала новость про Redis-совместимую БД Dragonfly.
В комментариях даже сам автор этой БД отметился.
Интересно, вот с этой самой совместимостью - там уязвимость не унаследовали случайно?
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Golangdev (?), 12-Июл-23, 19:59 
так у неё лицензия несвободная, SSPL

мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так и Ынтырпрайзов будет использоватья Redis

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Golangdev (?), 12-Июл-23, 20:24 
минусующий хочет со мной поспорить и готов проголосовать своим кошельком %)
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Quad Romb (ok), 12-Июл-23, 20:53 
> так у неё лицензия несвободная, SSPL

Не обратил на это внимание.
Там с 15 марта 2028 года уже что-то другое - какое-то ответвление от Apache License 2.0, под названием BSL 1.1.

> мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так
> и Ынтырпрайзов будет использоватья Redis

Однако, начало текста даже этой лицензии подтверждает сказанное Вами, а именно - "The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work."

Ну, если продукт отчаянно хорош и имеет толковую поддержку, то кто-то будет за него платить.
Но, большинство, согласен с Вами, будет такую БД избегать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

17. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от пох. (?), 12-Июл-23, 21:17 
напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

20. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Quad Romb (ok), 12-Июл-23, 21:30 
> напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?

BSD 3-Clause "New" or "Revised" License
A permissive license similar to the BSD 2-Clause License, but with a 3rd clause that prohibits others from using the name of the copyright holder or its contributors to promote derived products without written consent.

Другими словами, коммерческое использование допускается, но не допускается использование марки "Redis" в чужих ответвлениях от этого продукта.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +1 +/
Сообщение от Аноним (25), 13-Июл-23, 01:02 
>Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.

Они не осилили добавить поддержку FreeBSD. По сему, фтопку.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

8. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (12), 12-Июл-23, 20:13 
> "в библиотеках cjson"

Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +1 +/
Сообщение от Аноним (11), 12-Июл-23, 20:19 
Может, просто не стоило в key-value db "выполнять сценарии на языке lua"? А... хотя да, о чем я...

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (12), 12-Июл-23, 20:26 
Lua как управляемый код виртуальной машины .NET — Common Language Runtime ?
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноньимъ (ok), 12-Июл-23, 21:01 
Вы ещё скажите что файлам нужен унифицированый формат метаданных для определения типа содержимого.
Или скажем что файловая система что-то такое может хранить.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

19. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +2 +/
Сообщение от Tron is Whistling (?), 12-Июл-23, 21:25 
Это тогда обезьянкам придётся учиться делать структуры данных так, чтобы не создавать избыточной передачи таковых с DBMS на бэк.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

28. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Анонимусс (?), 13-Июл-23, 11:40 
А пока что обезьянки запутались в типах и не смогли почитать размер буфера. Опять...
- size_t newsize = (buf->len+len)*2;
+ size_t newsize = buf->len+len;
+ if (newsize < buf->len || newsize >= SIZE_MAX/2) abort();
+ newsize *= 2;
https://github.com/redis/redis/pull/12398/files
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Tron is Whistling (?), 13-Июл-23, 14:30 
Ну, за обезьянок-то буферы выделяет низкоуровневая подложка, V8 какой-нибудь, поэтому запутаться они не могут. Вот только стоит она столько, что тот же редис на этой подложке не написать так, чтобы он сносно работал и не требовал на порядок больше железа.

А тут да, всё рядом с железом, считать приходится.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Tron is Whistling (?), 12-Июл-23, 21:24 
Особенно понравилось CVE-2023-36475.
Хламокодинг - это сурово.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (21), 12-Июл-23, 21:39 
кто-нибудь еще в это верит?)
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от ИмяХ (?), 14-Июл-23, 08:33 
Да уже никто в компьютеры не верит. Это всё на самом деле магия.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (35), 14-Июл-23, 23:11 
Как говорится, не учите физику в школе и ваша жизнь будет наполнена чудесами.
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (22), 12-Июл-23, 23:50 
>при разборе сервером специально оформленных сообщений STUN

Лишь бы Kaitai Struct не использовать.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (22), 12-Июл-23, 23:53 
>Workarounds
>Disable remote code execution through the MongoDB BSON parser.

В уязвимости виноват не Parse Server, а MongoDB.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"  +/
Сообщение от Аноним (26), 13-Июл-23, 08:39 
> В уязвимости виноват не Parse Server, а MongoDB.

MongoDB BSON parser - это надстройка над MongoDB из состава Parse Server, к самому MongoDB он отношения не имеет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру