Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в Ghostscript, эксплуатируемая через ImageMagick" | +/– | |
Сообщение от opennews (??), 10-Сен-21, 22:11 | ||
В Ghostscript, наборе инструментов для обработки, преобразования и генерации документов в форматах PostScript и PDF, выявлена критическая уязвимость (CVE-2021-3781), позволяющая выполнить произвольный код при обработке специально оформленного файла. Изначально на наличие проблемы обратил внимание Эмиль Лернер, который рассказал об уязвимости 25 августа на прошедшей в Санкт-Петербурге конференции ZeroNights X (в докладе было рассказано, как Эмиль в рамках программ bug bounty использовал уязвимость для получения премий за демонстрацию атак на сервисы AirBNB, Dropbox и Яндекс.Недвижимость)... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по ответам | RSS] |
1. Сообщение от Аноним (1), 10-Сен-21, 22:11 | +6 +/– | |
Делать текстовые документы Тьюринг-полными изначально было ошибкой. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #7 |
2. Сообщение от Аноним (2), 10-Сен-21, 22:24 | +/– | |
Я старательно и методично удаляю ghostscript отовсюду. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #4, #15, #16 |
3. Сообщение от Kuromi (ok), 10-Сен-21, 22:33 | +5 +/– | |
Сезон дыр в Ghostscript снова открыт? В прошлый раз уязвимости находили каждую неделю. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #20 |
4. Сообщение от Kuromi (ok), 10-Сен-21, 22:41 | +1 +/– | |
Все бы хорошо, но от него зависит CUPS... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 Ответы: #8, #24 |
5. Сообщение от Аноним (5), 10-Сен-21, 22:46 | –3 +/– | |
Этот GhostScript - дырявое говно. Нужно окончательное решение GhostScriptного вопроса: написать drоp-in замену, использущую под капотом OpenBox. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #11 |
6. Сообщение от Аноним (6), 10-Сен-21, 22:47 | +2 +/– | |
Лично я отгородился от этой штуки через редактирование /etc/ImageMagick-6/policy.xml (Ubuntu 18.04 десктоп): | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #9 |
7. Сообщение от Аноним (7), 10-Сен-21, 22:51 | +22 +/– | |
Ну, не знаю. Мне кажется, что ошибкой было (и есть) считать Postscript и PDF _текстовыми_ документами... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #1 Ответы: #13 |
8. Сообщение от Аноним (2), 10-Сен-21, 22:55 | +5 +/– | |
Что-то вроде этого, если cups не используется.#!/bin/sh | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 |
9. Сообщение от Отец Инквизитор (?), 10-Сен-21, 23:03 | +17 +/– | |
Выколол себе глаза, чтоб не видеть греха? Уважаю. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #6 Ответы: #51 |
11. Сообщение от B (?), 10-Сен-21, 23:23 | –4 +/– | |
Rust? Go? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #5 Ответы: #17, #45 |
13. Сообщение от РобинГуд (?), 11-Сен-21, 04:03 | +6 +/– | |
А ты хорош. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #7 |
15. Сообщение от Админ Анонимов (?), 11-Сен-21, 08:35 | +/– | |
тогда нужно было писать так: | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 |
16. Сообщение от Админ Анонимов (?), 11-Сен-21, 08:37 | +/– | |
fix: Я старательно и методично удаляю xxx отовсюду. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #2 Ответы: #52 |
17. Сообщение от пох. (?), 11-Сен-21, 09:09 | –1 +/– | |
игогошечка не сможет волшебным образом санировать строчку %pipe%, и опять все будет зависеть только от прямизны рук программиста. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
19. Сообщение от Аноним (19), 11-Сен-21, 11:03 | +/– | |
Почему бы им не перейти уже на libvips. im/gm в разы медленнее и жрут больше памяти. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #21 |
20. Сообщение от Аноним (20), 11-Сен-21, 11:04 | +/– | |
Осень. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #3 |
21. Сообщение от Sw00p aka Jerom (?), 11-Сен-21, 12:48 | +/– | |
там же ImageMagick в зависимостях | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #19 Ответы: #28, #30 |
24. Сообщение от макпыф (ok), 11-Сен-21, 15:17 | –1 +/– | |
вернее cups-filters | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #4 |
25. Сообщение от Аноним (-), 11-Сен-21, 16:46 | +/– | |
Ghostscript - это драйвер принтеров, в том числе свободная реализация языка PostScript. И не нойте пожалуйста, баги фиксят. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #29 |
26. Сообщение от Kuromi (ok), 11-Сен-21, 17:11 | +/– | |
Кстати Эмиль молодец, сначала обнес компании на премии за уязвимости, а потом уже спалил её. А ведь мог продать АНБшникам\кулхацкерам же. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #27 |
27. Сообщение от OpenEcho (?), 11-Сен-21, 17:41 | +7 +/– | |
да он вообще нормальный пацан, судя названиям проектов на гитхабе | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #26 Ответы: #50 |
28. Сообщение от Аноним (19), 11-Сен-21, 18:03 | +/– | |
Ну так и говорю, сменить на libvips. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 |
29. Сообщение от Аноним (30), 11-Сен-21, 19:36 | +/– | |
Баги сажают, вы хотели сказать? Этой проблемы нет в версиях до 9.50, когда что-то где-то зачем-то опять понаулучшайкали. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #25 |
30. Сообщение от Аноним (30), 11-Сен-21, 23:04 | +1 +/– | |
он optional - только для чтения форматов, не поддерживаемых самой vips | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #21 Ответы: #31 |
31. Сообщение от Sw00p aka Jerom (?), 11-Сен-21, 23:45 | +/– | |
> он optional - только для чтения форматов, не поддерживаемых самой vips | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #30 Ответы: #33 |
32. Сообщение от sailorCat (?), 11-Сен-21, 23:59 | –1 +/– | |
Никогда такого не было. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
33. Сообщение от пох. (?), 12-Сен-21, 00:12 | +/– | |
> так и есть, просто в тех же портах в бсд он списке Requires | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #31 Ответы: #39, #44 |
39. Сообщение от timur.davletshin (ok), 12-Сен-21, 07:43 | +1 +/– | |
> ... никем и нигде не используемого jpeg2000... | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 Ответы: #41 |
40. Сообщение от Аноним (40), 12-Сен-21, 08:44 | +2 +/– | |
Я правильно понимаю, что т.е. если кто-то загрузит на нэкстклауд вредоносный файл, использующий эту уязвимость, код будет исполнен на сервере? | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
41. Сообщение от пох. (?), 12-Сен-21, 09:04 | +/– | |
ну оригинально выпендрились, чо. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #39 Ответы: #42, #43 |
42. Сообщение от Anonymoustus (ok), 12-Сен-21, 10:43 | +/– | |
Не «выпендрились» и не «извращенцы», а стандартный формат (ISO/IEC 15444) против изначально собственнического TIFF. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #41 Ответы: #46 |
43. Сообщение от timur.davletshin (ok), 12-Сен-21, 11:54 | +/– | |
> И тот какими-то странными извращенцами, потому что и в прошлом веке сканеры | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #41 Ответы: #47 |
44. Сообщение от Sw00p aka Jerom (?), 12-Сен-21, 14:12 | +/– | |
> ну ты просто не застал времен, когда там и imagick скачивал для | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #33 |
45. Сообщение от Аноним (45), 12-Сен-21, 14:16 | +/– | |
Оба | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #11 |
46. Сообщение от пох. (?), 12-Сен-21, 20:39 | –3 +/– | |
Ну то есть белки-истерички как есть. Борцуны со всем собственническим во славу ненужного шва6одного. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #42 Ответы: #49 |
47. Сообщение от пох. (?), 12-Сен-21, 20:41 | –2 +/– | |
> Никто не мешает тебе и TIFF скачать в индивидуальных файлах, только в | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #43 Ответы: #48, #54 |
48. Сообщение от timur.davletshin (ok), 12-Сен-21, 21:09 | +1 +/– | |
> вопрос в том, откуда у них вообще взялись такие уродливые "оригиналы" и | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 |
49. Сообщение от Anonymoustus (ok), 12-Сен-21, 22:08 | +/– | |
Об их мотивах я не осведомлён. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #46 |
50. Сообщение от Аноним (50), 12-Сен-21, 23:35 | +1 +/– | |
>нормальный пацан | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #27 |
51. Сообщение от Аноним (51), 13-Сен-21, 06:49 | +/– | |
Давно так не смеялся, спасибо, Инквизитор! :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #9 |
52. Сообщение от Аноним (52), 13-Сен-21, 20:56 | +/– | |
Не, тогда уж лучше, CUPS удалю, а XXX пусть останется. Его и на экране смотреть можно. :) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #16 |
53. Сообщение от Аноним (53), 13-Сен-21, 23:48 | +/– | |
В Gentoo imagemagick уже с предложенными защитами поставляется (их как с прошлого раза поставили, так и не убирают) | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Ответы: #56 |
54. Сообщение от Tifereth (ok), 14-Сен-21, 10:31 | +/– | |
Ну так взять и спросить, если в самом деле интересно. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #47 Ответы: #55 |
55. Сообщение от пох. (?), 14-Сен-21, 11:35 | +/– | |
Ну какая "туча всего"? Один весьма странный коллектив, слегка ушибленный "открытыми" стандартами, зачем-то сделал фигню. Вероятнее всего - переконвертив оригиналы, поскольку я по прежнему не верю в существование настолько уродливого сканерного софта. | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #54 |
56. Сообщение от пох. (?), 14-Сен-21, 11:37 | +/– | |
> В Gentoo imagemagick уже с предложенными защитами поставляется | ||
Ответить | Правка | Наверх | Cообщить модератору | ||
Родитель: #53 |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |