URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129169
[ Назад ]
Исходное сообщение
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено opennews , 05-Дек-22 11:44
Несколько недавно выявленных уязвимостей:...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58264
Содержание
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 11:44 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Жироватт, 11:55 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 11:56 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Илья, 12:00 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Жироватт, 12:04 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 12:12 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 14:58 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,grinder, 11:49 , 06-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 11:59 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Илья, 12:00 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 12:03 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 12:11 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Вирт, 12:09 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 13:23 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Michael Shigorin, 22:26 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,fuggy, 12:17 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 12:31 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Без аргументов, 12:51 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Вы забыли заполнить поле Name, 16:53 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Вы забыли заполнить поле Name, 20:12 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 18:37 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Вы забыли заполнить поле Name, 20:14 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 13:20 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Вы забыли заполнить поле Name, 20:17 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 09:19 , 07-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 12:52 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 14:58 , 05-Дек-22
- Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract,Аноним, 15:46 , 05-Дек-22
Сообщения в этом обсуждении
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 11:44
>Apache FineractНеудачное название. Звучит как гибрид Fine Reader с Tesseract OCR.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Жироватт , 05-Дек-22 11:55
А может так и задумывалось? LibreWord, apachings, russt++...
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 11:56
Опенсорс не может в удачные названия
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Илья , 05-Дек-22 12:00
Чего только стоят названия программ ддя Ubuntu Touch)
u[вставить че программа делает]
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Жироватт , 05-Дек-22 12:04
У, UTOUCH май та-ла-ла,
Ю, ай дин-дин-донг
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 12:12
нормальное название, fin - от слова финансы, eract - произносится как эрэкт, ну ты понял. Типа управляешь у себя такими финансами, что ты аж непроизвольно eract.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 14:58
Fine rect
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено grinder , 06-Дек-22 11:49
> Fine rectНе, это больше похоже на название метода для отрисовки хороших таких прямоугольников.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 11:59
В vim'e ничего не выявлено?
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Илья , 05-Дек-22 12:00
Выход вроде выявлен.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 12:03
Туда многие и войти то не осилили
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 12:11
Значит, это уязвимость.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Вирт , 05-Дек-22 12:09
По идее та же уязвимость с ctags что и у emacs
в vim тоже должна работать.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 13:23
Но не работает?
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Michael Shigorin , 05-Дек-22 22:26
Ну раз исправлена в emacs.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено fuggy , 05-Дек-22 12:17
Большинство таких ошибок из-за того что пользователи запускают файлы из непроверенного источника не глядя. Тем более когда приложение этому способствует и открывает
>".ipynb" без дополнительных подтверждений в режиме "isTrusted"Понятно что сложно и долго проверять глазами большие файлы, но это не знаю что можно брать из любого источника и запускать. Вы же не запускаете исполняемые файлы скачанные из левого источника, не проверить хотя бы антивирусом или не сверив подпись и контрольную сумму. Не запускаете скрипты под рабочим пользователем. Это тоже самое что скачать скрипт с rm -rf, а потом жаловаться что терминал его запустил.
>Проблема вызвана отсутствием должного экранирования символов ".." в путях
Проблема есть в каждой второй программе. И почему-то единого решения способа обработки ".." не изобрели.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 12:31
Так называемые веб-программисты какают исходниками из непроверенного источника и запускат.
Им даже не приходит в голову мысль качать исходники из проверенного источника
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Без аргументов , 05-Дек-22 12:51
например, вот: что хотят, то и суют в скрипт пост-установки (20млн скачиваний в неделю):
https://github.com/medikoo/es5-ext/blob/main/_postinstall.js
а еще интереснее глянуть в контрибьютеров
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Вы забыли заполнить поле Name , 05-Дек-22 16:53
Самое забавное, что они думают, что это что-то изменит.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Вы забыли заполнить поле Name , 05-Дек-22 20:12
> А ты думаешь нет?Нет. Левый выхлоп в консоль при установке модуля или замена тайтла (как сделали в deadbeef) вызывает только раздражение у нормальных людей.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 18:37
Хотя бы файлы с диска не удаляет и то хорошо.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Вы забыли заполнить поле Name , 05-Дек-22 20:14
> Хотя бы файлы с диска не удаляет и то хорошо.А вот этого исключать нельзя. Поэтому всех этих людей стоит взять на карандаш.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 13:20
*Качают
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Вы забыли заполнить поле Name , 05-Дек-22 20:17
> Так называемые веб-программисты какают исходниками из непроверенного источника и запускат.
> Им даже не приходит в голову мысль качать исходники из проверенного источника Да ладно. Также делает самый безопасный язык в мире https://www.rust-lang.org/tools/install
> curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 07-Дек-22 09:19
Нннууу, учитывая что ты один хрен без верификации с них качать удумал, чем тебе шелскрипты так уж хуже? :)
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 12:52
Какое замечательное перекладывание с больной головы на здоровую. Программа падает при открытии файла? Ну так не открывайте этот файл, это не программа плохая, это файл плохой.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 14:58
Так это разве уязвимости.
Это хипстер-фичи.
"Уязвимости в VS Code, Grafana, GNU Emacs и Apache Fineract"
Отправлено Аноним , 05-Дек-22 15:46
"Уязвимость вызвана возможностью обработки служебных ссылок "command:" для открытия окна с терминалом и выполнения в нём произвольных shell-команд, при обработке в редакторе специально оформленных документов в формате Jypiter Notebook, загруженных с web-сервера, подконтрольного атакующим (внешние файлы с расширением ".ipynb" без дополнительных подтверждений открываются в режиме "isTrusted", допускающем обработку "command:")."во блин, а почему не спрашивает "вы доверяете файлам в этой папке" как при открытии других файлов? хм