https://opennet.dev/openforum/vsluhforumID3/139859.html В развиваемом проектом Sagredo форке почтового сервера qmail выявлена уязвимость (CVE-2026-41113), позволяющая добиться удалённого выполнения произвольных команд на сервере с правами пользователя qmailr. Уязвимость вызвана отсутствием экранирования спецсимволов в имени хоста, возвращаемого DNS-сервером при определении MX-шлюза, в сочетании с передачей полученного имени в команду popen без должного разделения и фильтрации аргументов при вызове shell. Уязвимость устранена в выпуске 2026.04.07. В открытом доступе опубликован инструментарий для эксплуатации уязвимости...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65241<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#51 Tue, 21 Apr 2026 06:42:48 GMT А чем тебе stdin не угодил?<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#50 Tue, 21 Apr 2026 06:41:29 GMT &gt; Спасибо за доброе слово в мой адрес, как сисадмина<br><br>Да незашто. Завсегда пжалста.<br><br>Не надо так дёргаться. Тебе стоит помнить две вещи:<br><br>1. Все эти обобщающие высказывания о множествах типа "программисты", "сисадмины", "индусы", "найтэльфы", "школьники" всегда неверны с точки зрения логики. На любое высказывание о любом таком множестве можно найти контрпример из этого множества.<br><br>2. Если ты принадлежишь к какой-то группе, это не значит что ты являешся репрезентативным представителем этой группы, по произвольно выбранному признаку этой группы. Не факт, что существует хоть один признак, по значению которого ты попадаешь в медиана+-срквадратичное отклонение. Это естественный езыг, детка, имеющий дело с группами выделяемыми по N признакам, где N существенно больше трёх, при котором R^N ведёт себя крайне контринтуитивно.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#49 Mon, 20 Apr 2026 21:43:24 GMT Спасибо за доброе слово в мой адрес, как сисадмина, только вот разница с программистом как раз в том, что я, как сисадмин, в первую очередь думал о том, что _моё_ хозяйство могут поиметь, если я буду запускать утилиту в дочернем шелле, передавая ей в аргументах данные из сети. Программисту, живущему за десять границ, фитиль из стекловаты за взлом сети не вставят, а вот сисадмину - запросто.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#48 Mon, 20 Apr 2026 12:33:24 GMT Там ниже я привёл код фактически выдранный из touch во фре, с уменьшиным до минимума функционалом.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#46 Mon, 20 Apr 2026 06:16:23 GMT Да даже если бы и с "должным". Есть одно правило - данные в дочерний процесс можно передавать исключительно через механизмы IPC. Ни в коем случае не командная строка, и не stdin, дочерний процесс должен иметь выделенный канал для данных. Если дочерний процесс в это не умеет, то значит его вообще никак использовать нельзя, нуждается в доработке.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#45 Mon, 20 Apr 2026 04:32:57 GMT Это не древность, это суровая современность. Их так учат (в Китае?): писать на C как на питоне/баше. Синтаксис же похож?!? Похож. Ну и хреначим говнокод быстро-быстро. Времени на изучение библиотек нету. Кушать хочется.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#44 Mon, 20 Apr 2026 04:32:06 GMT Это не древность, это суровая современность. Их так учат (в Китае?): писать на C как на питоне/баше. Синтаксис же похож?!? Похож. Ну и хреначим говнокод быстро-быстро. Времени на изучение библиотек нету. Кушать хочется.<br> https://opennet.dev/openforum/vsluhforumID3/139859.html#42 Mon, 20 Apr 2026 01:00:05 GMT Да, это хорошая гипотеза. Запускать сабшелл из C для того, чтобы сделать touch, это надо быть либо альтернативно одарённым программистом, либо сисадмином.<br><br><br>Это же делается примерно так:<br><br>int fd = open("file.txt", O_CREAT &#124; O_WRONLY, 0666); // NB. эта строчка демонстрирует экстремистскую символику, простите<br>if (fd &gt;= 0) close(fd);<br><br>Если нужно ещё и таймстапмы обновлять, то надо добавить ещё:<br><br>utime("file.txt", NULL);<br><br> https://opennet.dev/openforum/vsluhforumID3/139859.html#39 Sun, 19 Apr 2026 22:15:00 GMT Одно то, что тебя трясёт от C/C++ заставляет писать на нём<br>