URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 128974
[ Назад ]
Исходное сообщение
"Критические уязвимости в Netatalk, приводящие к удалённому выполнению кода"
Отправлено opennews , 17-Ноя-22 11:58
В Netatalk, стеке с реализацией сетевых протоколов AppleTalk и Apple Filing Protocol (AFP), выявлено шесть удалённо эксплуатируемых уязвимостей, позволяющих организовать выполнение своего кода с правами root через отправку специально оформленных пакетов. Netatalk используется многими производителями устройств хранения данных (NAS) для обеспечения обмена файлами и организации доступа к принтерам c компьютеров Apple, например, применялся в устройствах Western Digital (проблема решена удалением Netatalk из прошивок WD). Netatalk также входит в состав многих дистрибутивов, включая OpenWRT (удалён, начиная с ветки OpenWrt 22.03), Debian, Ubuntu, SUSE, Fedora и FreeBSD, но не используется по умолчанию. Проблемы устранены в выпуске Netatalk 3.1.13...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58129
Содержание
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 11:58 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 12:01 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Michael Shigorin, 21:34 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Без аргументов, 22:29 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 05:14 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 03:20 , 19-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 20:37 , 20-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 12:07 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,anonymous, 17:41 , 20-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Тащ Коекто, 12:11 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:34 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 12:40 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:51 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:40 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 20:39 , 20-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:40 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Анонн, 12:43 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 18:44 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Анонн, 19:17 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Без аргументов, 22:28 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Анонн, 22:55 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Без аргументов, 10:39 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Без аргументов, 10:41 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:45 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:59 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 13:07 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Без аргументов, 10:43 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 12:48 , 20-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,ryoken, 12:48 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 13:42 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 14:02 , 17-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 06:57 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Full Master, 07:31 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,iPony129412, 11:44 , 18-Ноя-22
- Критические уязвимости в Netatalk, приводящие к удалённому в...,Аноним, 22:35 , 18-Ноя-22
Сообщения в этом обсуждении
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 11:58
> например, применялся в устройствах Western Digital (проблема решена удалением
> Netatalk из прошивок WD)учитесь как нада!
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 17-Ноя-22 12:01
Правильно сделали. Надо выкидывать устаревшие технологии.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Michael Shigorin , 17-Ноя-22 21:34
Например, яблочные?
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Без аргументов , 17-Ноя-22 22:29
Которые умеют превращаться в тыкву без аппсторе.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 18-Ноя-22 05:14
Любые устаревшие.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 19-Ноя-22 03:20
Ты тут слишком давно на форуме... Устарел уже.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 20-Ноя-22 20:37
Глубже плавай, он на этой планете чрезмерно задержался. Пора на утилизацию.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 17-Ноя-22 12:07
> As of 2020, AppleTalk support has been completely removed from legacy support with macOS 11 Big Sur.AFP примерно туда же отправился.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено anonymous , 20-Ноя-22 17:41
Реально, так и надо. Не можешь исправить - выбрасывай. Ибо оставлять бекдор с рут-доступом - это однозначный фейл и не стоит любой функциональности.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Тащ Коекто , 17-Ноя-22 12:11
>выявлено шесть удалённо эксплуатируемых уязвимостей, позволяющих организовать выполнение своего кода с правами root через отправку специально оформленных пакетов.Это "уязвимости" - кого надо уязвимости, а любопытный нос лезет куда не надо, понимаш отправка специально оформленных пакетов удалённо, позволяет организовать выполнение чьего надо кода с правами root. Обычному пользователю нечего боятся, ведь ему нечего скрывать.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:34
#протокол AppleTalk
> Networking support > Networking options>CONFIG_ATALKА вот опцию AFP в 6.0.9 ядре я что то не нашел, ее уже нет?
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 17-Ноя-22 12:40
Никогда не было.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:51
>Никогда не было.Я тоже не припомню, просто новость так не конкретно написана, что кажется что это два разных модуля ядра.
>>В Netatalk, стеке с реализацией сетевых протоколов AppleTalk и Apple Filing Protocol (AFP)
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:40
Holy crap! 5 уязвимостей с выполнением "кода с правами root"
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 20-Ноя-22 20:39
Кто-то наконец запустил статический анализатор на этой фигне, видимо. Правда, припозднились, протоколы уже неактуальные. Но поиметь некоторое количество мощей вы еще сможете.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:40
Астрологи обьявили месяц новостей об уязвимостях с памятью.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Анонн , 17-Ноя-22 12:43
5 из 6 ошибок - ошибки работы с памятью.
Впрочем, ничего нового, ничего удивительного.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 18:44
6/6. Посмотри коммит с фиксом к CVE-2022-23121.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Анонн , 17-Ноя-22 19:17
Да, ты прав. Ну, 6 из 6, стало еще хуже.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Без аргументов , 17-Ноя-22 22:28
Перепишите всё. Только не забудьте весь набор спецсимволов. Наизусть выучите все пакеты crates.io, а то вдруг санкции (или вам без разницы?)
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Анонн , 17-Ноя-22 22:55
А давайте вы мне будете предлагать выучить crates наизусть, а я вам начать писать без ошибок с памятью? У меня решение уже есть в виде хотя бы crates-mirror, а у вас... И да, на санкции мне пофиг.Плюс вы сами себе противоречите... То переписать предлагаете, а когда переписываем - как тот же resvg или кловер - начинаете возмущаться "зачем переписывали". Загадка природы какая-то))
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Без аргументов , 18-Ноя-22 10:39
> зачем переписывалиэто не я писал, я не фанатик
> я вам начать писать без ошибок с памятью
я с динамической памятью не работаю на Си - MISRA C это не одобряет тоже. касательно остального я всегда проверяю параметры и длины, у меня даже паранойя в этом я бы сказал, плюс Го воспитал всё делать явно, проверять на nil и обрабатывать каждую ошибку -- независимо от языка здравая идея. Касательно раста легко недоставить или перепутать спецсимвол, и будет паник, вышли за пределы -- паник, т.ч. оно не особо лучше, когда отказ в обслуживании.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Без аргументов , 18-Ноя-22 10:41
Да, из-за педантичности я работаю медленней, чем формошлепы и веб-манки. Но кто их нанимает в угоду квартальной премии, тот ССЗБ.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:45
Раз Сишники не могут нормально проверять входные данные и так и не научились нормально обрабатывать ошибки, - то может кто-нибудь, уже заставит их хотя бы пользоваться банальными assert-ами🤦, и пускай они не отключают их даже в релизе, сроком хотя бы в пару месяцев, - ну может это хоть как-то поможет🤦
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 12:59
Студент умеющий пользоваться assert как правило и входные данные умеет проверять.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 13:07
Ага, оно и видно 😂
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Без аргументов , 18-Ноя-22 10:43
Да, всё так.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 20-Ноя-22 12:48
Умение проверять входные данные понятие растяжимое. Проверь входные данные движка v8
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено ryoken , 17-Ноя-22 12:48
>> применялся в устройствах Western Digital (проблема решена удалением Netatalk из прошивок WD)Проблема болящей головы решена усекновением сией головы.
:D
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 17-Ноя-22 13:42
Не. Это скорее как удаление вросшего ногтя.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 17-Ноя-22 14:02
Многие уязвимости это на самом деле не уязвимости, а закладки
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 18-Ноя-22 06:57
С какой версии уязвимость?
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Full Master , 18-Ноя-22 07:31
>AppleTalk и Apple Filing ProtocolЭтим говном динозавра еще кто-то пользуется?
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено iPony129412 , 18-Ноя-22 11:44
На любую устаревшую технологию всегда найдётся луддит, который будет её до последнего использовать 🤨
А так да - в общем никому не надо.
SMB 1 куда популярнее даже - хотя тоже устаревшее оно самое.
"Критические уязвимости в Netatalk, приводящие к удалённому в..."
Отправлено Аноним , 18-Ноя-22 22:35
>В Netatalk, сервере с реализацией сетевых протоколов AppleTalk и Apple Filing Protocol (AFP)
>проблема решена удалением Netatalk из прошивок WD
>удалён, начиная с ветки OpenWrt 22.03Вот, лучшее решение проблемы.