URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 130969
[ Назад ]
Исходное сообщение
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено opennews , 12-Июл-23 16:58 
Несколько недавно выявленных опасных уязвимостей:...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59430

Содержание
Сообщения в этом обсуждении
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 16:58 
Ghostscript который раз штопают, а он всё продолжает рваться. Может, там какую-нибудь ба-а-а-альшую заплатку прифигарить, чтобы уж пофиксить как-то это безобразие?
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 17:35 
Это корпоративный бэкдор, типа avahi или networkmanager.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 20:21 
networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 13-Июл-23 09:29 
Нет, внедряют в дистрибутивы, чтобы вендорлок. Ну и пользователи любят обмазываться бэкдорами.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 14-Июл-23 23:07 
Он из большинства дистров без проблем сносится. И является лишь 1 из опций, даже не везде дефолтной. Просто оно умеет большую часть того что на десктопе или ноуте обычно юзерам надо, ну вот его и ставят.

У меня на дебиане и даже убунтах его много где нет. Вообще ни на что не влияет, кроме того что теперь вы не получите вон ту гуйную приблуду в трее или что там за (экто)плазма у вас была для настройки вафель и проч - и таки пойдете сетапить сие мануально.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 14-Июл-23 23:04 
> networkmanager внедряют в дистрибутивы, чтобы приложения могли управлять сетевыми настройками?

Чтобы среднего пошиба юзерь мог настроить конект к вафле какой, особенно энтерпрайзной, не слетев с катушек при этом. Не то чтобы это иначе нельзя - но это уже для хардкорных фриков.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Анониссимус , 21-Июл-23 00:56 
Да, я как-то раз поднимал вафлю через wpa_supplicant. Нажрался кактусов вдоволь, больше не хочется. Но и network manager -- то ещё гoвнище. К сожалению, нормальных инструментов для wifi не завезли.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено User , 12-Июл-23 20:02 
"Знал бы - сразу молнию пришил!"(С)
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 23:49 
боььшой заплаткой будет создание ghostscript API- и ABI-совместимой обёртки над pdfbox, который написано на безопасном по памяти языке Javz. И выкинуть этот ghostscript в мусор. всё равно кроме PDF важных кейсов нет, а выполниять postscript - это уже само remote code execution, даже ломать ничего не надо, штатной функциональности хватает.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Да ну нахер , 14-Июл-23 12:30 
>на безопасном по памяти языке Javz

Безопасным является только язык Карбон.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Юморист без диплома , 12-Июл-23 17:14 
Мало кто знает, что EVALSHA это феминитив.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 20:17 
Мало кто знает, что такое феминитив. ))
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено some , 14-Июл-23 21:52 
Боюсь спросить, какие у неё трудовые обязанности =)))
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Quad Romb , 12-Июл-23 18:12 
Тут как-то проскакивала новость про Redis-совместимую БД Dragonfly.
В комментариях даже сам автор этой БД отметился.
Интересно, вот с этой самой совместимостью - там уязвимость не унаследовали случайно?
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Golangdev , 12-Июл-23 19:59 
так у неё лицензия несвободная, SSPL

мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так и Ынтырпрайзов будет использоватья Redis

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Golangdev , 12-Июл-23 20:24 
минусующий хочет со мной поспорить и готов проголосовать своим кошельком %)
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Quad Romb , 12-Июл-23 20:53 
> так у неё лицензия несвободная, SSPL

Не обратил на это внимание.
Там с 15 марта 2028 года уже что-то другое - какое-то ответвление от Apache License 2.0, под названием BSL 1.1.

> мало кто готов платить за софт, поэтому по-прежнему массами как стартапов, так
> и Ынтырпрайзов будет использоватья Redis

Однако, начало текста даже этой лицензии подтверждает сказанное Вами, а именно - "The Licensor hereby grants you the right to copy, modify, create derivative works, redistribute, and make non-production use of the Licensed Work."

Ну, если продукт отчаянно хорош и имеет толковую поддержку, то кто-то будет за него платить.
Но, большинство, согласен с Вами, будет такую БД избегать.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено пох. , 12-Июл-23 21:17 
напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Quad Romb , 12-Июл-23 21:30 
> напомните, какая лицензия у Redis начиная с уже неподдерживаемой 5?

BSD 3-Clause "New" or "Revised" License
A permissive license similar to the BSD 2-Clause License, but with a 3rd clause that prohibits others from using the name of the copyright holder or its contributors to promote derived products without written consent.

Другими словами, коммерческое использование допускается, но не допускается использование марки "Redis" в чужих ответвлениях от этого продукта.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 13-Июл-23 01:02 
>Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.

Они не осилили добавить поддержку FreeBSD. По сему, фтопку.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 20:13 
> "в библиотеках cjson"

Сегодня обновление пришло на библиотеку для работы с JSON Yet Another JSON Library.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 20:19 
Может, просто не стоило в key-value db "выполнять сценарии на языке lua"? А... хотя да, о чем я...

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 20:26 
Lua как управляемый код виртуальной машины .NET — Common Language Runtime ?
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноньимъ , 12-Июл-23 21:01 
Вы ещё скажите что файлам нужен унифицированый формат метаданных для определения типа содержимого.
Или скажем что файловая система что-то такое может хранить.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Tron is Whistling , 12-Июл-23 21:25 
Это тогда обезьянкам придётся учиться делать структуры данных так, чтобы не создавать избыточной передачи таковых с DBMS на бэк.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Анонимусс , 13-Июл-23 11:40 
А пока что обезьянки запутались в типах и не смогли почитать размер буфера. Опять...
- size_t newsize = (buf->len+len)*2;
+ size_t newsize = buf->len+len;
+ if (newsize < buf->len || newsize >= SIZE_MAX/2) abort();
+ newsize *= 2;
https://github.com/redis/redis/pull/12398/files
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Tron is Whistling , 13-Июл-23 14:30 
Ну, за обезьянок-то буферы выделяет низкоуровневая подложка, V8 какой-нибудь, поэтому запутаться они не могут. Вот только стоит она столько, что тот же редис на этой подложке не написать так, чтобы он сносно работал и не требовал на порядок больше железа.

А тут да, всё рядом с железом, считать приходится.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Tron is Whistling , 12-Июл-23 21:24 
Особенно понравилось CVE-2023-36475.
Хламокодинг - это сурово.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 21:39 
кто-нибудь еще в это верит?)
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено ИмяХ , 14-Июл-23 08:33 
Да уже никто в компьютеры не верит. Это всё на самом деле магия.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 14-Июл-23 23:11 
Как говорится, не учите физику в школе и ваша жизнь будет наполнена чудесами.
"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 23:50 
>при разборе сервером специально оформленных сообщений STUN

Лишь бы Kaitai Struct не использовать.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 12-Июл-23 23:53 
>Workarounds
>Disable remote code execution through the MongoDB BSON parser.

В уязвимости виноват не Parse Server, а MongoDB.

"Уязвимости в Redis, Ghostscript, Asterisk и Parse Server"
Отправлено Аноним , 13-Июл-23 08:39 
> В уязвимости виноват не Parse Server, а MongoDB.

MongoDB BSON parser - это надстройка над MongoDB из состава Parse Server, к самому MongoDB он отношения не имеет.