URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 127509
[ Назад ]
Исходное сообщение
"Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива"
Отправлено opennews , 15-Май-22 08:50 
В утилите unrar  выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7.  Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57190

Содержание
Сообщения в этом обсуждении
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 08:50 
Вечная уязвимость
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено ИмяХ , 15-Май-22 09:47 
Это из начал но было так задумано. Этой фичу использовали многие инсталляторы. Только в мире швaбодного по это вдруг стало "уязвимостью"
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено And , 15-Май-22 10:06 
Программировать - это гораздо сложнее фронт-энда. Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 12:19 
Это уже шутка недели не меньше.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Массоны Рептилоиды , 16-Май-22 10:53 
> Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать

Да ну, бред какой-то

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:43 
> Только в мире швaбодного по это вдруг стало "уязвимостью"

Чисто поржать, RAR и UNRAR - не есть "свободное ПО". Как максимум на консольный unrar сорцы есть, но даже они ни разу не свободные, под левой квазипроприетарной лицензией. Но спасибо за testimonial, перенаправим его б-дским проприетариям :)

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 17:58 
Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только люди, у которых есть альтернатива в виде качественного свободного ПО, жалуются. Что не так?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 19:22 
> Он же сказал о том, что они всю жизнь таким обмазывались и
> просили ещё, и только люди, у которых есть альтернатива в виде
> качественного свободного ПО, жалуются. Что не так?

Мне кажется, он не это имел в виду, но получилось прикольно :)

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Гыгыгы , 15-Май-22 19:24 
Про качество он не говорил. Как правило, закрытое ПО качественнее.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 22:10 
Мне наприме опенсорсный линукс как-то сильно больше винды нравится. Особенно ядро. Там народу вот реально нравится делать клевую штуку, с душой фигарят. В отличие от унылых безымянных ботов из майкрософта. Поэтому когда я натыкался на те или иные системные траблы, мы их сообща гасили. И занимало это ну может самый край пару дней. После чего у меня система еще лучше чем раньше и я могу ее прикручивать дальше к моим (и кастомерским) задачам. А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал. И в этом месте я готов поспорить о качестве.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 15:00 
А погасите трабл с ускорением видео в браузерах. Можно не за пару дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:19 
> А погасите трабл с ускорением видео в браузерах. Можно не за пару
> дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.

Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно подумать. Но это лучше более тематическим личностям предлагать, и не тут.

А чисто по юзерски - ютуб в линухе у меня и так неплохо пашет, а если смотреть что-то крупнее ролика на 5 минут, я это в нормальном плеере смотрю, он лучше браузера по всем параметрам. Это намек что я не брошу текущие проекты нашару покодить кому-то фичу во имя луны.

p.s. в кернеле и либах так то для этого все есть, вопрос к тем или иным браузерописакам почему они вон то еще не прикрутили. Некоторые вроде даже прикрутили, я не очень следил т.к. меня особ не парит. Не основной юзкейс.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 05:25 
Ну вот так всегда: как доходит до дела, так сложна/нинужна/УМВР и так далее.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Neon , 24-Май-22 17:18 
> Если вас не обломает проплатить 2 года фултайм кодинга

Т.е. интузиасты любители своего дела без проплаты никак ? А как распинались про сообщество, как оно дружно гасит баги.))) А на деле все то же самое, что и на проприетарных галерах. Презренные гроши давай. Лицемеры

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 04:39 
Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе. У тебя там калькулятор что ли?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 05:19 
Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров и не сжирая батарею на глазах.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Гыгыгы , 16-Май-22 19:40 
А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе. И никакие форумы не помогли.

>А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал

Так его там ещё поискать надо. Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да. А так не вижу проблем, хотя под линухом их вижу.

>И в этом месте я готов поспорить о качестве.

А в чём тут спорить? Ваше УМВР не решит моих проблем с линухом, как и мой УМВР — ваших проблем с виндой. Но в целом закрытое ПО — качественнее. Специализированные приложения тому хороший пример.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 02:36 
> А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе.
> И никакие форумы не помогли.

Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды.

> Так его там ещё поискать надо.

Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?!

В линуксе оно как-то меньше проблем мне создавало. Так по жизни. А если создает - там хоть диагностика обычно какая-то есть. И более-менее понятно кого пинать. При том это все же обычно живые люди а не боты в первой линии сапорта, дающие стандартные инструкции по очистке мышки и похрен что у меня крахдамп есть.

> Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да.

А еще старые GPU только как "VGA адаптер" в чем-то типа висты и новее взлетают. В линуксе они поддерживаются куда приличнее, во всяком случае, видео на ютубе без слайдшоу посмотреть можно, в отличие от винды.

> А так не вижу проблем, хотя под линухом их вижу.

Кому как.

> А в чём тут спорить? Ваше УМВР не решит моих проблем с
> линухом, как и мой УМВР — ваших проблем с виндой.
> Но в целом закрытое ПО — качественнее.

Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал".

> Специализированные приложения тому хороший пример.

Очень сильно нишевые. Но так то и в Linux есть специализированные случаи когда винды в пролете. Блин, вы вообще винду на большей части ARMовских одноплатников не загрузите. А даже если и загрузите, это и бессмысленно и дров для большей части железок нет. А, ну да, специализированный кейс. А чем мой кейс хуже вашего?

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Гыгыгы , 17-Май-22 06:06 
>Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды.

Я и говорю — УМВР. А вот уменя не сложилось.

>Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?!

А тут будет УМВР с моей стороны.

>Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал".

Какой там «для себя»? Откуда этот бред берётся? Линух пилят корпорации, как им нужно. А то ПО, что делают «для себя» иногда забрасывают и тогда начинается веселье.

>А чем мой кейс хуже вашего?

Тем что статистика опять на моей стороне. Захватив мир роутеров,серверов и телефонов на настольных системах линух соcёт, как и 20 лет назад.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:16 
Другая классическая проблема: читаем один файл пишем в другой, но забываем проверить, а не один ли это файл. Или не забываем, проверяем, но по путям. Пути разные, а inode один, оказывается второй аргумент был симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

И ещё миллион таких проблем. А как вишенка на торте - ToUToC для долгоиграющих программ. Проверили всё, всё нормально, начали работу, а файлы переместились (сторонней программой) после нашей проверки, но ещё в процессе работы программы, и приплыли.

Короче, проверка аргументов команд, особенно если это пути файловой системы - это не так просто, как может показаться.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 19:16 
> по путям. Пути разные, а inode один, оказывается второй аргумент был
> симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

В архиве это не должно требовать интерпретации: архивер должен класть в хидеры путь "как есть". Поэтому там нет ни ~ как референса на home (это сугубо фича шелла) ни ../../ т.к. это вообще не является легитимной иерархией которую можно найти в ФС и именно так записать ее содержимое в хидер.

Однако шаловливыми ручками такой хидер архива можно скроить - и если анпакер не проверит этот момент, жестко налетит на распаковке чего-то не того и не туда, при ничего не подозревающем юзере.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 19:25 
p.s. это все кстати позволяет ряд приколов уровня ФС. Файл с именем ~ ничему не противоречит, но фаны шелла будут иногда делить на ноль. Блин, в имени файла можно даже 0x0d и 0x0a использовать - и в этом месте те кто пытаются обрабатывать имена файлов как текст могут скушать еще дюжину вулнов. В именах файлов разрешено использовать все кроме NULL (0x00) и '/'. Все остальные значения являются допустимыми. Что и позволяет всякие utf8 имена например без особой переделки софта.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено PnD , 16-Май-22 11:42 
Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит.
А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат.
Ещё вариант — сконструировать имя по аналогии с "sql injection" всякими.
* Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл весёлый атрибут.
** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:29 
> Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит.

Попытка создать такой файл скорее всего обломается - такой файл уже есть, техническая сущность ФС.

> А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат.

Да, это тоже может доставить. Еще можно использовать ? > и | в именах. Например, "echo trololo > file" является валидным именем файла так то.

Хочется затроллить юзеров винды? "C:\windows.suxx" сойдет (это именно имя файла, без субдир). А теперь удачи в винде его такой вообще распаковать. Хотя интереснее положить в архиве что-то типа C:\con\con и тому подобные. Раньше это даже вело к весьма злым спецэффектам, вплоть до бсодов.

> * Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл
> весёлый атрибут.

Я иногда так развлекаюсь. Проги решительно не одупляют почему файл не удается стереть и перезаписать хотя права есть, все такое.

> ** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".

Как оказалось - даже матерый кодер иногда ухитряется откушать на этом.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено васёк , 15-Май-22 09:07 
ещё одна такая уязвимость - и ухожу на zip !
достали!!!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено КО , 15-Май-22 09:18 
Если у меня не выпадет *вайфу_name*, я установлю Ubuntu!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 13:32 
У zip другая проблема, хранит имена файлов не в юникоде => кракозябры при распаковке на другой платформе. Переходи на 7zip.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 14:00 
7zip косячнее еще больше. В Генту даже новость приходила о том что стоит его выпмлить из системы.а то и вовсе будет депрекатед. Во Фряхе тоже если делать проверку на уязвимости,то 7zip показывает как бяку.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 14:19 
Я всех ввел в заблуждение,в самом деле речь про p7zip
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:24 
Это единственный 7z, который там есть, версия 6 летней давности или около того. В том году исходники свежей версии утекли, да что-то никто не спешит подобрать.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 14:33 
Чего исходникам там утекать? Они и так под LGPL. Недавно эталонный 7zip стал официально поддерживать Linux.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 14:53 
Там суть в том, что автор зажал исходники актуальных версий, да.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 18:02 
Что не так с версией 2016 года?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено qetuo , 16-Май-22 04:57 
Да, она из 2016 года.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 20:39 
unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенной в винду реализацией, которая его не использует
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено www2 , 17-Май-22 09:40 
А флаг для CP1251 есть? А для CP866? А для KOI-8R?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Cyber100 , 15-Май-22 18:23 
только arj - только хардкор.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено CAE , 15-Май-22 19:22 
arc - выбор профессионала. Ну или lharc
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:42 
не надо доверять чужому коду!
переходи на RLE!
пишется за полчаса)
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:27 
а если файл извне пришел в руре ? так то да, любой дурак может, а ты обнови унрур
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Neon , 24-Май-22 17:20 
Это не уязвимость в unrar, а фича. Вполне полезная
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено iPony129412 , 15-Май-22 09:18 
Шо, опять?!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено ИмяХ , 15-Май-22 09:29 
Опять виновата дырявая сишка
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 09:35 
Здесь не столько сишка сколько отсутствие мозгов.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:30 
Надо понимать у тебя мозгов больше чем у разработчиков rar?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Бывалый смузихлёб , 15-Май-22 10:46 
Если они настолько посредственно проверяют строки - то даже у начинающего проггера мозгов может оказаться сильно больше
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 22:35 
> Если они настолько посредственно проверяют строки - то даже у начинающего проггера
> мозгов может оказаться сильно больше

Начинаюший прогер про прикол ../../ вообще обычно не в курсе. На то и начинающий. А вот когда про него не в курсе матерый волк - это уже какой-то позор.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 13:30 
> Здесь не столько сишка сколько отсутствие мозгов.

Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 22:11 
Ты питонист из соседней новости чтоли? :)
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 14:36 
Растолиз
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:45 
> Опять виновата дырявая сишка

Вообще так можно на любом яп налететь, лишь бы с фс работать умел.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено a_kusb , 15-Май-22 09:44 
А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено ИмяХ , 15-Май-22 09:48 
А что значит "нормальное" место? Написано же - насколько позволяют права пользователя, значит все нормально.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено a_kusb , 15-Май-22 12:44 
> А что значит "нормальное" место? Написано же - насколько позволяют права пользователя,
> значит все нормально.

Кстати да, это удобно же.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:01 
Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяке. Хотя сейчас эту возможность придется удалять -- люди ее все-таки заметили.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:35 
Любому эксперту с opennet 🐓 ясно что это бэкдор
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 12:21 
Да кто таких уязвимостей только не было и в вебсерверах и черте лысом. Даже автор не считал это уязвимостью, а думал что фича.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:49 
> А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?

Потому что первое что прихожит кодеру в бошку это взять имя файла (и возможно кусок пути, если сохранено в архиве) - и записать это как есть. Но, как видим, на specially crafted content с этим есть довольно забавные нюансы. Когда это не архиватор из ФС сгенерил, а хитрозадый хакер в хидер прописал ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

ЧСХ это не очень удачная семантика операций ФС, но во первых, она и легитимно используется, а во вторых - все ее варианты обхода заткнуть не так уж и просто. Можете посмотреть как например вебсервера так имеют, особенно новоделы.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 18:49 
> ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

Ага. Insufficient privilegies.
А вот в ~/.bashrc уже писать можно.

> все ее варианты обхода заткнуть не так уж и просто

Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?
$ man realpath

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 18:50 
$ man 3 realpath
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 19:11 
> Ага. Insufficient privilegies.

Это смотря кто что и куда распаковывал/записывал и какие у него права были.

> А вот в ~/.bashrc уже писать можно.

Да много куда и чего можно. Вопрос фантазии.

> Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?

А вот это уже не первое что кодерам в голову приходит. Есть еще способ - можно зарубать последовательности вида ../ в путях из хидеров и отказываться это декомпрессить: при легитимном использовании архивера таких вещей в хидере архива быть просто не должно и их наличие довольно надежный индикатор того что это попытка поиметь а не что-нибудь еще.

> $ man realpath

Так это вроде отдельная прога, толку с нее в архиваторе...

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 14:03 
Есть прога (можно использовать в shell), а есть функция из glibc:
> char *realpath(const char *restrict path, char *restrict resolved_path);

Я потому и добавил тройку к ману.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:33 
> Я потому и добавил тройку к ману.

"Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа...."

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 09:45 
> Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.

Вот вам и вирусы на венде и ондроит.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:40 
дак автор рара виндузятнеГ, вои и накосячил со слешами...
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено васёк , 15-Май-22 11:42 
а под android не накосячил ...
опять эксперт опеннета
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 12:22 
И часто ты архивы распаковываешь на андроиде?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Самый Лучший Гусь , 15-Май-22 12:55 
Каждый день запаковываю и распаковываю. 7z в Termux. Очень удобно, брат что характерно, жив.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено microsoft , 15-Май-22 18:23 
Чтож ты ы них пакуешь? Игры по 200 гб наверно.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Самый Лучший Гусь , 15-Май-22 20:48 
> Чтож ты ы них пакуешь? Игры по 200 гб наверно.

А почему вы спрашиваете?

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:12 
Может он тоже хочет попаковать, но не знает что. А ты нам расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем ты там занимаешься с архивами.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:34 
> Может он тоже хочет попаковать, но не знает что. А ты нам
> расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем
> ты там занимаешься с архивами.

Вам энтропии побольше или поменьше? Если побольше, жмите /dev/urandom, если поменьше, /dev/zero.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 03:56 
unrar-ом...
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 00:40 
Под Android был феерический косяк при добавлении информации для восстановления при создании старого(4.00) типа .rar архивов...
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:27 
по-моему, наоборот - было фичей
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 10:28 
Ебилдов не завезли, до сих пор прошлогодняя версия. 9/10 файлов, скачиваемых из интернета, в этом формате. Что ж.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено RomanCh , 15-Май-22 12:22 
Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 12:51 
> Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?

Да так, различные опенсорсные и около того программы. Походите по тому же гитхабу, посмотрите.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Самый Лучший Гусь , 15-Май-22 12:59 
На гитхабе для шиндошс всё зазиповано. Для всех остальных тарболлы или точно так же зазиповано. Проприетарный RAR в обществе подлинных ценителей свободного и открытого ПО — моветон. Вот как плевок в душу, честное слово.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 13:00 
Согласен, но почему-то так делают.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Самый Лучший Гусь , 15-Май-22 13:15 
Значит ответственные органы недорабатывают. Думаю, это пройдёт.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:13 
Ответственные органы этому потакают. Проснись, рар это и есть то самое «замещение»
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 15:51 
> Да так, различные опенсорсные и около того программы.

Что-то у вас какой-то паршивый опенсорс.

> Походите по тому же гитхабу, посмотрите.

По репам от васяна с варезом чтоли, где даже лицензия не прописана и какая-то домашка русского студня вывалена? Остальные раром так то не пользуются особо. Особенно опенсорсники.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 16:39 
Обычный, иного не завезли. Стоит сказать спасибо, что вообще поставляют исходники -- у некоторых на гитхабе только блобы.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 19:13 
> у некоторых на гитхабе только блобы.

Это не их заслуга а недоработка майкрософта который еще не снес явных варезников.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено RomanCh , 16-Май-22 07:10 
Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает. Из интернета чаще всего качается в формате *.deb, иногда *.tar.*z, ну или git clone. Отсюда и возник вопрос - что же это вы такое делаете - можете парочку примеров "опенсорсных и около того" программ?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 10:44 
Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack (вообще анриал), ни compress, и я видел многие миллиарды файлов. И чтобы такие файлы были где-то в интернете? Да ARJ встречается чаще! И LHA. При этом, я не стану сомневаться, что у кого-то они используются (если учиться по доисторическим гайдам, и не такое возможно). Но, в интернете?! А рар -- это достаточно классически для вендузятников, т.е. надо смотреть современный софт на жс или электроне, в "релизах" будут эти архивы.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:15 
Рар только в варезе бывает проснись уже, пожалуйста.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:34 
> Рар только в варезе бывает проснись уже, пожалуйста.

Не только в варезе (где вы такой варез находите?), но и в дистрибутивах всяких интересных программ. У меня даже есть предположение, почему. Всевозможные сканеры этот формат не распаковывали, следовательно, узнать, что в архиве, они не могли. Какая разница? Исходники есть? Есть! А сам формат прекрасный, встроенное парити это довольно полезно. Идея сжимать файлы подходящими типу файла алгоритмами тоже норм. Вот только ни по степени сжатия, ни по скорости, преимуществ перед 7z не имеет. У 7z даже получше с дедупликацией будет (при достаточном размере окна). Может, извлечение только местами пошустрее у rar (сжатие некоторых файлов в архиве будет слабое или отсутствующее).

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено RomanCh , 16-Май-22 14:30 
Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и около того программ". Это же не сложно, правда? Хочу расширить кругозор.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 15:05 
> Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и
> около того программ". Это же не сложно, правда? Хочу расширить кругозор.

Зачем? Есть сомнения, что так и есть, или что? Вон даже на опеннете рекламировали проекты с таким гитхабом, только за последний год несколько раз видел. Ну а то что проект опенсорс, не означает, что он лицензионно чист, поэтому претензий на тему вареза тоже не понимаю, для удобства пользователей могут и положить требуемые файлы рядом.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено microsoft , 15-Май-22 18:26 
Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 18:32 
> Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.

Нет, выходит, ты глуповат, если экстраполируешь это таким образом.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено microsoft , 15-Май-22 22:06 
Нет
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 11:09 
Ну, на винде продвинутые школьники rar ставят, ладно.
Остальным это зачем?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено YetAnotherOnanym , 15-Май-22 13:31 
В бухтерии rar любят. На сайтах госорганов часто доки в нём выкладывают.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 00:10 
в бухгалтерии по привычке из 90тых всем ставят winrar вот его и "любят"
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 14:44 
В "балгахтерии" что админ поставит, то они и любят.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 11:41 
Зачем unrar если есть unar, который те же rar распаковывает?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено ИмяХ , 15-Май-22 12:05 
Зачем urar если есть unrar, который те же rar распаковывает?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Самый Лучший Гусь , 15-Май-22 13:00 
unar даже чёрта лысого распаковывает, а не только rar. Есть ещё bsdtar из libarchive, тоже достаточно универсальный.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 14:56 
Для установки unrar надо приседать с включением репозиториев с проприетарью, тогда как unar в дефолтных почти везде
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 18:49 
А какие версии распаковывает?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 22:28 
Судя по коду от 1.3 до 5
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 06:41 
он gnustep за собой тащит
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено zog , 15-Май-22 12:27 
А WinRAR 6.12 почему не выпустили?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Андрей , 15-Май-22 12:52 
Новость _внимательно_ прочитайте
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено zog , 15-Май-22 13:10 
Ну вот ты мне "невнимательному" расскажи, почему rar и unrar обновились, а WinRAR нет. Там что какой-то другой код работы с директориями?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено ИмяХ , 15-Май-22 16:16 
Да
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 11:19 
Сейчас для тебя будет открыта страшная тайна. WinRAR он только для Windows потому что он Win!!!! Для Линукс unrar это официальная поставка с сайта производителя и её обновили потому что сабжевая фича только для Линукса работает.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 13:50 
Никогда бы не подумал что это уязвимость. К тому же галочки есть во всяких xarchiver с разрешением на перезапись.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 14:11 
Это Рошал накосячил что-ли? Формат Rar косячный и не нужный формат.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 16:02 
Как узнать опенсорсника? По частоте употребления словосочетания «не нужно».
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено zog , 15-Май-22 22:16 
Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 17:34 
Защитник быдлокодера Рошала - два!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено zog , 16-Май-22 20:54 
А ты сам какой кодер?
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 17:33 
Защитник Рошала - раз!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено InuYasha , 15-Май-22 14:49 
*UT announcer*
Congratulations! You are the winrar!
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 15-Май-22 22:13 
Зато какая винрарная уязвимость, прямо по классике :)
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Интел , 15-Май-22 21:29 
В конце 90-х и начале 2000-х пользовал данный архиватор. С появлением 7z забыл про всё остальное как страшный сон.
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Ivan_83 , 15-Май-22 21:57 
> разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys"

Только в одном случае: если распаковывать такое в ~/Desktop или соседних директориях.
+-1 уровень вложенности и .ssh/authorized_keys лягут мимо цели.

"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 16-Май-22 01:28 
Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот или иной уровень вложенности. И то, что ты процитировал, начиналось со слова "например".
"Уязвимость в unrar, позволяющая перезаписать файлы при распа..."
Отправлено Аноним , 17-Май-22 04:46 
Вот тебе бабка и юрьевь день. Как же так вышло, что легендарный русский программист на единственно верном языке и такую лажу написал?