The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в СУБЛ Redis, потенциально позволяющая выполнить свой код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в СУБЛ Redis, потенциально позволяющая выполнить свой код"  +1 +/
Сообщение от opennews (ok), 26-Сен-22, 08:01 
Опубликован корректирующий выпуск CУБД Redis 7.0.5, в котором устранена уязвимость (CVE-2022-35951), потенциально позволяющая злоумышленнику выполнить свой код с правами процесса Redis. Проблема затрагивает только ветку 7.x и требует для совершения атаки доступа к выполнению запросов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57827

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Брат Анон (ok), 26-Сен-22, 08:01   –11 +/
Редис безопасный, говорили они. Не надо изобретать самописные велосипеды, с умным видом говорили они.

Правда, при этом они не читали дедушку Вирта, не знают и не понимают, что такое оборонительный стиль, и почему программа априори опасная. Любая программа. Оберон вам в помощь от таких ТУПЫХ ошибок.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #22, #28, #44

3. Сообщение от Аноним (3), 26-Сен-22, 08:27   +1 +/
Что же плохого в том, что я могу на _своей_ машине _свой_ код выполнить?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #11

4. Сообщение от Аноним (4), 26-Сен-22, 08:27   –4 +/
Зачем вообще выделять память на куче? Одни проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #31

5. Сообщение от пох. (?), 26-Сен-22, 08:34   +/
Действительно, давайте просто считать все машины, на которых кто-то лишний может выполнить код, несвоими.

Кстати, интересно, сколько там shodan видит сегодня открытых жопой миру редисов?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7, #9

6. Сообщение от пох. (?), 26-Сен-22, 08:37   +2 +/
Почему же только оберон? Брейнфак тоже гарантирует от таких ошибок. Нет работающей программы, нет ошибок.

Напомните, пожалуйста - что написал дедушка Вирт, кроме бумаг для почитания? (Нет, тот первый компилятор паскаля писали его аспиранты, "он - руководитель, как вы" - впрочем, логичненько, писали не на паскале,а на небезопастном языке, профессор не мог опускаться до такой гадости.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #40

7. Сообщение от Аноним (7), 26-Сен-22, 08:39   +1 +/
Shodan, кстати, огородился от TOR, поэтому его использование небезопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #13

9. Сообщение от Аноним (9), 26-Сен-22, 09:19   +5 +/
Примерно 56k, но семерок из них в районе 5k. Так что вот ты и обломался старина, пох!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12

11. Сообщение от YetAnotherOnanym (ok), 26-Сен-22, 09:50   +2 +/
Ты реально не понимаешь, что уязвимость - это когда на _твоей_ машине кто-то посторонний сможет выполнить _свой_, а не _твой_ код?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #18

12. Сообщение от пох. (?), 26-Сен-22, 10:10   –1 +/
Чорд, опять невезет, у меня будет зомбонет только из паршивых 5тыщ... и то если какая-нибудь сволочь не успеет раньше зохавать без остатка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20

13. Сообщение от пох. (?), 26-Сен-22, 10:11   +1 +/
Так ломани редиску и заходи с ее ip, как нормальные пацаны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

14. Сообщение от a_kusb (ok), 26-Сен-22, 10:13   +1 +/
Может сообщение об Обероне было так разжёвано, что его написание - почти программирование. И тут главное концепция.
Да и не верю что дядька который занимался философией и идеями программирования не писал код - это было бы слишком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16

16. Сообщение от Аноним (16), 26-Сен-22, 10:33   –4 +/
Человек, который в своей жизни кроме балабольства не делал ничего, конечно мог и не написать не строчки кода. Зачем ему его писать, код на хлеб не намажешь? А теоретики от программирования были и более приметные. Но не надо забывать, что за это время довольно многое изменилось, в том числе по причине эволюции железа, и сегодня уже не аргумент.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от ыы (?), 26-Сен-22, 11:03   +1 +/
99% компов в мире выполняет на твоей машине не твой код :)
И ничего.. живут да нахваливают :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #19, #23

19. Сообщение от ыы (?), 26-Сен-22, 11:04   –1 +/
99,9999999% %))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Аноним (20), 26-Сен-22, 11:05   +/
Вот так твои планы заполучить мировое господство потерпели очередное фиаско. Кого-то ты мне напоминаешь, он тоже старенький и тоже всё знает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #25

22. Сообщение от Аноним (22), 26-Сен-22, 12:22   –4 +/
Перепишите redis на Обероне, в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #27

23. Сообщение от YetAnotherOnanym (ok), 26-Сен-22, 12:43   –1 +/
"Мой" или "не мой" в данном случае определяется не тем, написал его я или не я, а тем, я его выбрал и запустил (пусть даже косвенно, например, загрузив страницу с жабаскриптом), или кто-то посторонний без моего ведома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #26

24. Сообщение от Lex20email (ok), 26-Сен-22, 13:07   +/
До второго стека не все программисты доросли. С многозадачностью та же беда: не всем хватает ума не пользоваться ею.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #34, #36, #42

25. Сообщение от Michael Shigorinemail (ok), 26-Сен-22, 13:43   +/
Эт который с чертями здоровается?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от ыы (?), 26-Сен-22, 14:25   +/
Не вижу чем это опровергает мое утверждение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от пох. (?), 26-Сен-22, 15:29   –1 +/
Ой, вот не надо! Пусть лучше на хрусте переписывают (да не выперепишут).

А то проблема будет, во весь рост. Про gpg сервера (на эрланге) забыл? До сих пор никто не рискует исправлять, как я понимаю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #29

28. Сообщение от freehckemail (ok), 26-Сен-22, 16:19   –1 +/
> Редис безопасный, говорили они.

Про Redis никто и никогда такую чушь не говорил.
Именно по этой причине его ставят мордой исключительно в бэкнет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

29. Сообщение от Где проблема (?), 26-Сен-22, 17:44   +/
А что там не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

31. Сообщение от Аноним (31), 26-Сен-22, 19:43   +3 +/
Зачем вообще нужна куча. Усложнение ради усложнения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #33, #41

33. Сообщение от Аноним (22), 26-Сен-22, 20:42   +/
Просто современные так называемые "программисты" не могут не выделять память на куче
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

34. Сообщение от Аноним (22), 26-Сен-22, 20:48   +1 +/
Вместо того чтобы просто взять Си, создать мьютокс и следить за ним, изобретают всякие корутины, амина/авайт и прочую ерунда, а потом боятся с глюками
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #35, #37, #38

35. Сообщение от BuildPrice (?), 27-Сен-22, 04:03   +/
>>  боятся с глюками

глаза боятся, RUST делает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

36. Сообщение от Аноним (36), 27-Сен-22, 08:57   +1 +/
Подскажите пожалуйста где почитать про второй стек в Си
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #39

37. Сообщение от Ананимус (?), 27-Сен-22, 11:23   +/
Зачем за ним следить, если можно просто сделать scoped mutex? Даже в С++ можно же. Зачем руками-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

38. Сообщение от Аноним (38), 27-Сен-22, 12:34   +/
>  изобретают всякие корутины, амина/авайт и прочую ерунда, а потом боятся

Злобных коммитер спинлоков, ты ли это ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

39. Сообщение от Lex20email (ok), 27-Сен-22, 15:16   +/
Там же где и про ассемблер
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

40. Сообщение от bOOster (ok), 27-Сен-22, 16:42   +2 +/
Дедушка Вирт - прочтеним его бумаг для чтения развивал в тебе во первых понимание алгоритмов, а второе умение читать и понимать, а также усидчивость. Чего явно не хватает. Проскакали по вершками и норм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

41. Сообщение от Онаним. (?), 27-Сен-22, 21:17   +1 +/
Затем, чтобы не дёргать страничный аллокатор на каждую пару байт.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от Онаним. (?), 27-Сен-22, 21:18   +/
Вообще уже давно пора архитектурно разделить return stack и temporary data stack.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

44. Сообщение от Вирт (?), 14-Ноя-22, 16:38   +/
С каких пор Oberon стал проверять целочисленные переполнения?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру