The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в unrar, позволяющая перезаписать файлы при распаковке архива"  +/
Сообщение от opennews (??), 15-Май-22, 08:50 
В утилите unrar  выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7.  Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57190

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +15 +/
Сообщение от Аноним (1), 15-Май-22, 08:50 
Вечная уязвимость
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –17 +/
Сообщение от ИмяХ (?), 15-Май-22, 09:47 
Это из начал но было так задумано. Этой фичу использовали многие инсталляторы. Только в мире швaбодного по это вдруг стало "уязвимостью"
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от And (??), 15-Май-22, 10:06 
Программировать - это гораздо сложнее фронт-энда. Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (25), 15-Май-22, 12:19 
Это уже шутка недели не меньше.
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Массоны Рептилоиды (?), 16-Май-22, 10:53 
> Это надо работать, заниматься _продуманной_ обработкой ввода от пользователя, прорабатывать-работать

Да ну, бред какой-то

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

50. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Аноним (-), 15-Май-22, 15:43 
> Только в мире швaбодного по это вдруг стало "уязвимостью"

Чисто поржать, RAR и UNRAR - не есть "свободное ПО". Как максимум на консольный unrar сорцы есть, но даже они ни разу не свободные, под левой квазипроприетарной лицензией. Но спасибо за testimonial, перенаправим его б-дским проприетариям :)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

57. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (57), 15-Май-22, 17:58 
Он же сказал о том, что они всю жизнь таким обмазывались и просили ещё, и только люди, у которых есть альтернатива в виде качественного свободного ПО, жалуются. Что не так?
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (70), 15-Май-22, 19:22 
> Он же сказал о том, что они всю жизнь таким обмазывались и
> просили ещё, и только люди, у которых есть альтернатива в виде
> качественного свободного ПО, жалуются. Что не так?

Мне кажется, он не это имел в виду, но получилось прикольно :)

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –4 +/
Сообщение от Гыгыгы (?), 15-Май-22, 19:24 
Про качество он не говорил. Как правило, закрытое ПО качественнее.
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

78. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –2 +/
Сообщение от Аноним (-), 15-Май-22, 22:10 
Мне наприме опенсорсный линукс как-то сильно больше винды нравится. Особенно ядро. Там народу вот реально нравится делать клевую штуку, с душой фигарят. В отличие от унылых безымянных ботов из майкрософта. Поэтому когда я натыкался на те или иные системные траблы, мы их сообща гасили. И занимало это ну может самый край пару дней. После чего у меня система еще лучше чем раньше и я могу ее прикручивать дальше к моим (и кастомерским) задачам. А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал. И в этом месте я готов поспорить о качестве.
Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (105), 16-Май-22, 15:00 
А погасите трабл с ускорением видео в браузерах. Можно не за пару дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.
Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (-), 16-Май-22, 22:19 
> А погасите трабл с ускорением видео в браузерах. Можно не за пару
> дней, даже на пару лет согласен. А то уже серьёзно боюсь не дожить.

Если вас не обломает проплатить 2 года фултайм кодинга нескольким челам, можно подумать. Но это лучше более тематическим личностям предлагать, и не тут.

А чисто по юзерски - ютуб в линухе у меня и так неплохо пашет, а если смотреть что-то крупнее ролика на 5 минут, я это в нормальном плеере смотрю, он лучше браузера по всем параметрам. Это намек что я не брошу текущие проекты нашару покодить кому-то фичу во имя луны.

p.s. в кернеле и либах так то для этого все есть, вопрос к тем или иным браузерописакам почему они вон то еще не прикрутили. Некоторые вроде даже прикрутили, я не очень следил т.к. меня особ не парит. Не основной юзкейс.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (126), 17-Май-22, 05:25 
Ну вот так всегда: как доходит до дела, так сложна/нинужна/УМВР и так далее.
Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Neon (??), 24-Май-22, 17:18 
> Если вас не обломает проплатить 2 года фултайм кодинга

Т.е. интузиасты любители своего дела без проплаты никак ? А как распинались про сообщество, как оно дружно гасит баги.))) А на деле все то же самое, что и на проприетарных галерах. Презренные гроши давай. Лицемеры

Ответить | Правка | К родителю #113 | Наверх | Cообщить модератору

123. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (123), 17-Май-22, 04:39 
Фуллскрин 4k ютуп видео на интелевой встройке без лагов на средненьком лаптопе. У тебя там калькулятор что ли?
Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

125. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (126), 17-Май-22, 05:19 
Этот калькулятор почему-то под виндой прекрасно крутит видео без пропуска кадров и не сжирая батарею на глазах.
Ответить | Правка | Наверх | Cообщить модератору

110. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Гыгыгы (?), 16-Май-22, 19:40 
А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе. И никакие форумы не помогли.

>А в винде хоть какой-то баг убить, особенно в дровах... ну так себе весьма затея, я б сказал

Так его там ещё поискать надо. Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да. А так не вижу проблем, хотя под линухом их вижу.

>И в этом месте я готов поспорить о качестве.

А в чём тут спорить? Ваше УМВР не решит моих проблем с линухом, как и мой УМВР — ваших проблем с виндой. Но в целом закрытое ПО — качественнее. Специализированные приложения тому хороший пример.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

120. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 17-Май-22, 02:36 
> А у меня наоборот. ТВ-тюнер так нормально и не завёлся в линухе.
> И никакие форумы не помогли.

Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды.

> Так его там ещё поискать надо.

Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?!

В линуксе оно как-то меньше проблем мне создавало. Так по жизни. А если создает - там хоть диагностика обычно какая-то есть. И более-менее понятно кого пинать. При том это все же обычно живые люди а не боты в первой линии сапорта, дающие стандартные инструкции по очистке мышки и похрен что у меня крахдамп есть.

> Разве что с драйверами древних принтеров проблема на64-хразрядной системе, да.

А еще старые GPU только как "VGA адаптер" в чем-то типа висты и новее взлетают. В линуксе они поддерживаются куда приличнее, во всяком случае, видео на ютубе без слайдшоу посмотреть можно, в отличие от винды.

> А так не вижу проблем, хотя под линухом их вижу.

Кому как.

> А в чём тут спорить? Ваше УМВР не решит моих проблем с
> линухом, как и мой УМВР — ваших проблем с виндой.
> Но в целом закрытое ПО — качественнее.

Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал".

> Специализированные приложения тому хороший пример.

Очень сильно нишевые. Но так то и в Linux есть специализированные случаи когда винды в пролете. Блин, вы вообще винду на большей части ARMовских одноплатников не загрузите. А даже если и загрузите, это и бессмысленно и дров для большей части железок нет. А, ну да, специализированный кейс. А чем мой кейс хуже вашего?

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Гыгыгы (?), 17-Май-22, 06:06 
>Вот тут я честно говоря не очень в курсе. Мне из этого интересен разве что RTL_SDR, и отнюдь не для того чтобы телевизор смотреть, я готов поклясться что это в линуксе работает, получше любой винды.

Я и говорю — УМВР. А вот уменя не сложилось.

>Да чего его искать? GPU виснущий раз в 2-4 недели - легко. Глюки звуковушки? Пожалста. С вайфаем там вообще раз на раз не приходится. Бывает и хуже - на сервак с маздаем дрова контроллера райда могут хотеть конкретную винду вплоть до сервиспака. И горе лохадмину если он более новый сервиспак вкатил. Отпадет у него массив и кому такой сервер надо?!

А тут будет УМВР с моей стороны.

>Я бы с этим поспорил. Когда ПО для себя делают, особенно нормальные кодеры, им стимула халявить сильно меньше чем корп винтику для которого критерий - "менеджер от меня отстал".

Какой там «для себя»? Откуда этот бред берётся? Линух пилят корпорации, как им нужно. А то ПО, что делают «для себя» иногда забрасывают и тогда начинается веселье.

>А чем мой кейс хуже вашего?

Тем что статистика опять на моей стороне. Захватив мир роутеров,серверов и телефонов на настольных системах линух соcёт, как и 20 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +5 +/
Сообщение от Аноним (48), 15-Май-22, 15:16 
Другая классическая проблема: читаем один файл пишем в другой, но забываем проверить, а не один ли это файл. Или не забываем, проверяем, но по путям. Пути разные, а inode один, оказывается второй аргумент был симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

И ещё миллион таких проблем. А как вишенка на торте - ToUToC для долгоиграющих программ. Проверили всё, всё нормально, начали работу, а файлы переместились (сторонней программой) после нашей проверки, но ещё в процессе работы программы, и приплыли.

Короче, проверка аргументов команд, особенно если это пути файловой системы - это не так просто, как может показаться.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

69. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Аноним (-), 15-Май-22, 19:16 
> по путям. Пути разные, а inode один, оказывается второй аргумент был
> симлинком. Или мы, как в сабже, забыли интерпретировать ./../~/~user.

В архиве это не должно требовать интерпретации: архивер должен класть в хидеры путь "как есть". Поэтому там нет ни ~ как референса на home (это сугубо фича шелла) ни ../../ т.к. это вообще не является легитимной иерархией которую можно найти в ФС и именно так записать ее содержимое в хидер.

Однако шаловливыми ручками такой хидер архива можно скроить - и если анпакер не проверит этот момент, жестко налетит на распаковке чего-то не того и не туда, при ничего не подозревающем юзере.

Ответить | Правка | Наверх | Cообщить модератору

73. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (-), 15-Май-22, 19:25 
p.s. это все кстати позволяет ряд приколов уровня ФС. Файл с именем ~ ничему не противоречит, но фаны шелла будут иногда делить на ноль. Блин, в имени файла можно даже 0x0d и 0x0a использовать - и в этом месте те кто пытаются обрабатывать имена файлов как текст могут скушать еще дюжину вулнов. В именах файлов разрешено использовать все кроме NULL (0x00) и '/'. Все остальные значения являются допустимыми. Что и позволяет всякие utf8 имена например без особой переделки софта.
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от PnD (??), 16-Май-22, 11:42 
Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит.
А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат.
Ещё вариант — сконструировать имя по аналогии с "sql injection" всякими.
* Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл весёлый атрибут.
** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".
Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 22:29 
> Чутка добавлю. Ещё "." и ".." как имя файла вряд ли прокатит.

Попытка создать такой файл скорее всего обломается - такой файл уже есть, техническая сущность ФС.

> А так — да. Кладём в каталог файл "*" (к примеру) и ждём результат.

Да, это тоже может доставить. Еще можно использовать ? > и | в именах. Например, "echo trololo > file" является валидным именем файла так то.

Хочется затроллить юзеров винды? "C:\windows.suxx" сойдет (это именно имя файла, без субдир). А теперь удачи в винде его такой вообще распаковать. Хотя интереснее положить в архиве что-то типа C:\con\con и тому подобные. Раньше это даже вело к весьма злым спецэффектам, вплоть до бсодов.

> * Чтобы совсем уж почувствовать себя крутым кул-хацкером, можно повесить на файл
> весёлый атрибут.

Я иногда так развлекаюсь. Проги решительно не одупляют почему файл не удается стереть и перезаписать хотя права есть, все такое.

> ** Но вообще-то это всё ясельный юмор уровня "ТП 1-й линии".

Как оказалось - даже матерый кодер иногда ухитряется откушать на этом.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +7 +/
Сообщение от васёк (?), 15-Май-22, 09:07 
ещё одна такая уязвимость - и ухожу на zip !
достали!!!
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +5 +/
Сообщение от КО (?), 15-Май-22, 09:18 
Если у меня не выпадет *вайфу_name*, я установлю Ubuntu!
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +3 +/
Сообщение от Аноним (41), 15-Май-22, 13:32 
У zip другая проблема, хранит имена файлов не в юникоде => кракозябры при распаковке на другой платформе. Переходи на 7zip.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

43. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (43), 15-Май-22, 14:00 
7zip косячнее еще больше. В Генту даже новость приходила о том что стоит его выпмлить из системы.а то и вовсе будет депрекатед. Во Фряхе тоже если делать проверку на уязвимости,то 7zip показывает как бяку.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Аноним (43), 15-Май-22, 14:19 
Я всех ввел в заблуждение,в самом деле речь про p7zip
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 15-Май-22, 15:24 
Это единственный 7z, который там есть, версия 6 летней давности или около того. В том году исходники свежей версии утекли, да что-то никто не спешит подобрать.
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (101), 16-Май-22, 14:33 
Чего исходникам там утекать? Они и так под LGPL. Недавно эталонный 7zip стал официально поддерживать Linux.
Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 16-Май-22, 14:53 
Там суть в том, что автор зажал исходники актуальных версий, да.
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (58), 15-Май-22, 18:02 
Что не так с версией 2016 года?
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

86. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от qetuo (?), 16-Май-22, 04:57 
Да, она из 2016 года.
Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (111), 16-Май-22, 20:39 
unicode-флаг в zip существует с 2006 года, все проблемы исключительно с встроенной в винду реализацией, которая его не использует
Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

128. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от www2 (??), 17-Май-22, 09:40 
А флаг для CP1251 есть? А для CP866? А для KOI-8R?
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Cyber100email (ok), 15-Май-22, 18:23 
только arj - только хардкор.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

71. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от CAE (ok), 15-Май-22, 19:22 
arc - выбор профессионала. Ну или lharc
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (97), 16-Май-22, 11:42 
не надо доверять чужому коду!
переходи на RLE!
пишется за полчаса)
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

114. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 22:27 
а если файл извне пришел в руре ? так то да, любой дурак может, а ты обнови унрур
Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Neon (??), 24-Май-22, 17:20 
Это не уязвимость в unrar, а фича. Вполне полезная
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от iPony129412 (?), 15-Май-22, 09:18 
Шо, опять?!
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от ИмяХ (?), 15-Май-22, 09:29 
Опять виновата дырявая сишка
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +3 +/
Сообщение от Аноним (6), 15-Май-22, 09:35 
Здесь не столько сишка сколько отсутствие мозгов.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –2 +/
Сообщение от Аноним (1), 15-Май-22, 10:30 
Надо понимать у тебя мозгов больше чем у разработчиков rar?
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Бывалый смузихлёб (?), 15-Май-22, 10:46 
Если они настолько посредственно проверяют строки - то даже у начинающего проггера мозгов может оказаться сильно больше
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (-), 15-Май-22, 22:35 
> Если они настолько посредственно проверяют строки - то даже у начинающего проггера
> мозгов может оказаться сильно больше

Начинаюший прогер про прикол ../../ вообще обычно не в курсе. На то и начинающий. А вот когда про него не в курсе матерый волк - это уже какой-то позор.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (39), 15-Май-22, 13:30 
> Здесь не столько сишка сколько отсутствие мозгов.

Ссышнику некогда думать о безопасности - у него мозги забиты ссышным гемм0ром.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

79. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 22:11 
Ты питонист из соседней новости чтоли? :)
Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (101), 16-Май-22, 14:36 
Растолиз
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 15:45 
> Опять виновата дырявая сишка

Вообще так можно на любом яп налететь, лишь бы с фс работать умел.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

7. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от a_kusb (ok), 15-Май-22, 09:44 
А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от ИмяХ (?), 15-Май-22, 09:48 
А что значит "нормальное" место? Написано же - насколько позволяют права пользователя, значит все нормально.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от a_kusb (ok), 15-Май-22, 12:44 
> А что значит "нормальное" место? Написано же - насколько позволяют права пользователя,
> значит все нормально.

Кстати да, это удобно же.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +7 +/
Сообщение от Аноним (11), 15-Май-22, 10:01 
Написать можно, но тогда исчезнет возможность перезаписывать любые файлы в хомяке. Хотя сейчас эту возможность придется удалять -- люди ее все-таки заметили.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

17. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (1), 15-Май-22, 10:35 
Любому эксперту с opennet 🐓 ясно что это бэкдор
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (25), 15-Май-22, 12:21 
Да кто таких уязвимостей только не было и в вебсерверах и черте лысом. Даже автор не считал это уязвимостью, а думал что фича.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 15:49 
> А почему нельзя сделать проверку куда мы распаковываем и что это нормальное место?

Потому что первое что прихожит кодеру в бошку это взять имя файла (и возможно кусок пути, если сохранено в архиве) - и записать это как есть. Но, как видим, на specially crafted content с этим есть довольно забавные нюансы. Когда это не архиватор из ФС сгенерил, а хитрозадый хакер в хидер прописал ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

ЧСХ это не очень удачная семантика операций ФС, но во первых, она и легитимно используется, а во вторых - все ее варианты обхода заткнуть не так уж и просто. Можете посмотреть как например вебсервера так имеют, особенно новоделы.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

64. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (48), 15-Май-22, 18:49 
> ../../../../../etc/passwd - потуга скормить такое имя сисколам ведет к вполне ожидаемым результатам.

Ага. Insufficient privilegies.
А вот в ~/.bashrc уже писать можно.

> все ее варианты обхода заткнуть не так уж и просто

Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?
$ man realpath

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (48), 15-Май-22, 18:50 
$ man 3 realpath
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 19:11 
> Ага. Insufficient privilegies.

Это смотря кто что и куда распаковывал/записывал и какие у него права были.

> А вот в ~/.bashrc уже писать можно.

Да много куда и чего можно. Вопрос фантазии.

> Вычислять настоящий путь аргументов и всегда работать только с настоящими путями?

А вот это уже не первое что кодерам в голову приходит. Есть еще способ - можно зарубать последовательности вида ../ в путях из хидеров и отказываться это декомпрессить: при легитимном использовании архивера таких вещей в хидере архива быть просто не должно и их наличие довольно надежный индикатор того что это попытка поиметь а не что-нибудь еще.

> $ man realpath

Так это вроде отдельная прога, толку с нее в архиваторе...

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

99. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (99), 16-Май-22, 14:03 
Есть прога (можно использовать в shell), а есть функция из glibc:
> char *realpath(const char *restrict path, char *restrict resolved_path);

Я потому и добавил тройку к ману.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 22:33 
> Я потому и добавил тройку к ману.

"Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа. Я буду рефрешить каменты до написания ответа...."

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Аноним (8), 15-Май-22, 09:45 
> Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.

Вот вам и вирусы на венде и ондроит.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (18), 15-Май-22, 10:40 
дак автор рара виндузятнеГ, вои и накосячил со слешами...
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от васёк (?), 15-Май-22, 11:42 
а под android не накосячил ...
опять эксперт опеннета
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (25), 15-Май-22, 12:22 
И часто ты архивы распаковываешь на андроиде?
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Самый Лучший Гусь (?), 15-Май-22, 12:55 
Каждый день запаковываю и распаковываю. 7z в Termux. Очень удобно, брат что характерно, жив.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от microsoft (?), 15-Май-22, 18:23 
Чтож ты ы них пакуешь? Игры по 200 гб наверно.
Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Самый Лучший Гусь (?), 15-Май-22, 20:48 
> Чтож ты ы них пакуешь? Игры по 200 гб наверно.

А почему вы спрашиваете?

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (92), 16-Май-22, 11:12 
Может он тоже хочет попаковать, но не знает что. А ты нам расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем ты там занимаешься с архивами.
Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 22:34 
> Может он тоже хочет попаковать, но не знает что. А ты нам
> расскажешь и мы тоже начнем паковать на андроиде. Давай слушаем чем
> ты там занимаешься с архивами.

Вам энтропии побольше или поменьше? Если побольше, жмите /dev/urandom, если поменьше, /dev/zero.

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (121), 17-Май-22, 03:56 
unrar-ом...
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

84. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (84), 16-Май-22, 00:40 
Под Android был феерический косяк при добавлении информации для восстановления при создании старого(4.00) типа .rar архивов...
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

14. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (14), 15-Май-22, 10:27 
по-моему, наоборот - было фичей
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (57), 15-Май-22, 10:28 
Ебилдов не завезли, до сих пор прошлогодняя версия. 9/10 файлов, скачиваемых из интернета, в этом формате. Что ж.
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от RomanCh (ok), 15-Май-22, 12:22 
Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (57), 15-Май-22, 12:51 
> Позвольте поинтересоваться, а что вы такого постоянно из интернетов качаете в rar?

Да так, различные опенсорсные и около того программы. Походите по тому же гитхабу, посмотрите.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +2 +/
Сообщение от Самый Лучший Гусь (?), 15-Май-22, 12:59 
На гитхабе для шиндошс всё зазиповано. Для всех остальных тарболлы или точно так же зазиповано. Проприетарный RAR в обществе подлинных ценителей свободного и открытого ПО — моветон. Вот как плевок в душу, честное слово.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 15-Май-22, 13:00 
Согласен, но почему-то так делают.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Самый Лучший Гусь (?), 15-Май-22, 13:15 
Значит ответственные органы недорабатывают. Думаю, это пройдёт.
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (92), 16-Май-22, 11:13 
Ответственные органы этому потакают. Проснись, рар это и есть то самое «замещение»
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 15:51 
> Да так, различные опенсорсные и около того программы.

Что-то у вас какой-то паршивый опенсорс.

> Походите по тому же гитхабу, посмотрите.

По репам от васяна с варезом чтоли, где даже лицензия не прописана и какая-то домашка русского студня вывалена? Остальные раром так то не пользуются особо. Особенно опенсорсники.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

56. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 15-Май-22, 16:39 
Обычный, иного не завезли. Стоит сказать спасибо, что вообще поставляют исходники -- у некоторых на гитхабе только блобы.
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 19:13 
> у некоторых на гитхабе только блобы.

Это не их заслуга а недоработка майкрософта который еще не снес явных варезников.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от RomanCh (ok), 16-Май-22, 07:10 
Ну вот я и спрашиваю, потому что хожу иногда и такой нужды не возникает. Из интернета чаще всего качается в формате *.deb, иногда *.tar.*z, ну или git clone. Отсюда и возник вопрос - что же это вы такое делаете - можете парочку примеров "опенсорсных и около того" программ?
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

90. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 16-Май-22, 10:44 
Скажем, ни разу за свою жизнь я не видел файлов, пожатых ни pack (вообще анриал), ни compress, и я видел многие миллиарды файлов. И чтобы такие файлы были где-то в интернете? Да ARJ встречается чаще! И LHA. При этом, я не стану сомневаться, что у кого-то они используются (если учиться по доисторическим гайдам, и не такое возможно). Но, в интернете?! А рар -- это достаточно классически для вендузятников, т.е. надо смотреть современный софт на жс или электроне, в "релизах" будут эти архивы.
Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (92), 16-Май-22, 11:15 
Рар только в варезе бывает проснись уже, пожалуйста.
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 16-Май-22, 11:34 
> Рар только в варезе бывает проснись уже, пожалуйста.

Не только в варезе (где вы такой варез находите?), но и в дистрибутивах всяких интересных программ. У меня даже есть предположение, почему. Всевозможные сканеры этот формат не распаковывали, следовательно, узнать, что в архиве, они не могли. Какая разница? Исходники есть? Есть! А сам формат прекрасный, встроенное парити это довольно полезно. Идея сжимать файлы подходящими типу файла алгоритмами тоже норм. Вот только ни по степени сжатия, ни по скорости, преимуществ перед 7z не имеет. У 7z даже получше с дедупликацией будет (при достаточном размере окна). Может, извлечение только местами пошустрее у rar (сжатие некоторых файлов в архиве будет слабое или отсутствующее).

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от RomanCh (ok), 16-Май-22, 14:30 
Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и около того программ". Это же не сложно, правда? Хочу расширить кругозор.
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

106. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 16-Май-22, 15:05 
> Вы печатаете много букав, вместо того, чтобы привести несколько примеров "опенсорсных и
> около того программ". Это же не сложно, правда? Хочу расширить кругозор.

Зачем? Есть сомнения, что так и есть, или что? Вон даже на опеннете рекламировали проекты с таким гитхабом, только за последний год несколько раз видел. Ну а то что проект опенсорс, не означает, что он лицензионно чист, поэтому претензий на тему вареза тоже не понимаю, для удобства пользователей могут и положить требуемые файлы рядом.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от microsoft (?), 15-Май-22, 18:26 
Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

62. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (57), 15-Май-22, 18:32 
> Хммм у меня 10/10 файлов это zip и tar, выходит ты лжец.

Нет, выходит, ты глуповат, если экстраполируешь это таким образом.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от microsoft (?), 15-Май-22, 22:06 
Нет
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (20), 15-Май-22, 11:09 
Ну, на винде продвинутые школьники rar ставят, ладно.
Остальным это зачем?
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от YetAnotherOnanym (ok), 15-Май-22, 13:31 
В бухтерии rar любят. На сайтах госорганов часто доки в нём выкладывают.
Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (18), 16-Май-22, 00:10 
в бухгалтерии по привычке из 90тых всем ставят winrar вот его и "любят"
Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (101), 16-Май-22, 14:44 
В "балгахтерии" что админ поставит, то они и любят.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

21. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (21), 15-Май-22, 11:41 
Зачем unrar если есть unar, который те же rar распаковывает?
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от ИмяХ (?), 15-Май-22, 12:05 
Зачем urar если есть unrar, который те же rar распаковывает?
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Самый Лучший Гусь (?), 15-Май-22, 13:00 
unar даже чёрта лысого распаковывает, а не только rar. Есть ещё bsdtar из libarchive, тоже достаточно универсальный.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (21), 15-Май-22, 14:56 
Для установки unrar надо приседать с включением репозиториев с проприетарью, тогда как unar в дефолтных почти везде
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

65. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (65), 15-Май-22, 18:49 
А какие версии распаковывает?
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

115. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (115), 16-Май-22, 22:28 
Судя по коду от 1.3 до 5
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (87), 16-Май-22, 06:41 
он gnustep за собой тащит
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

29. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от zog (??), 15-Май-22, 12:27 
А WinRAR 6.12 почему не выпустили?
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Андрей (??), 15-Май-22, 12:52 
Новость _внимательно_ прочитайте
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от zog (??), 15-Май-22, 13:10 
Ну вот ты мне "невнимательному" расскажи, почему rar и unrar обновились, а WinRAR нет. Там что какой-то другой код работы с директориями?
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от ИмяХ (?), 15-Май-22, 16:16 
Да
Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (92), 16-Май-22, 11:19 
Сейчас для тебя будет открыта страшная тайна. WinRAR он только для Windows потому что он Win!!!! Для Линукс unrar это официальная поставка с сайта производителя и её обновили потому что сабжевая фича только для Линукса работает.
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

42. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –1 +/
Сообщение от Аноним (43), 15-Май-22, 13:50 
Никогда бы не подумал что это уязвимость. К тому же галочки есть во всяких xarchiver с разрешением на перезапись.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  –4 +/
Сообщение от Аноним (44), 15-Май-22, 14:11 
Это Рошал накосячил что-ли? Формат Rar косячный и не нужный формат.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от Аноним (54), 15-Май-22, 16:02 
Как узнать опенсорсника? По частоте употребления словосочетания «не нужно».
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +1 +/
Сообщение от zog (??), 15-Май-22, 22:16 
Не столько опенсорсника, сколько религиозного фанатика из мира опенсорс.
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 17:34 
Защитник быдлокодера Рошала - два!
Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от zog (??), 16-Май-22, 20:54 
А ты сам какой кодер?
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 16-Май-22, 17:33 
Защитник Рошала - раз!
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

46. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от InuYasha (??), 15-Май-22, 14:49 
*UT announcer*
Congratulations! You are the winrar!
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (-), 15-Май-22, 22:13 
Зато какая винрарная уязвимость, прямо по классике :)
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +4 +/
Сообщение от Интел (?), 15-Май-22, 21:29 
В конце 90-х и начале 2000-х пользовал данный архиватор. С появлением 7z забыл про всё остальное как страшный сон.
Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Ivan_83 (ok), 15-Май-22, 21:57 
> разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys"

Только в одном случае: если распаковывать такое в ~/Desktop или соседних директориях.
+-1 уровень вложенности и .ssh/authorized_keys лягут мимо цели.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (85), 16-Май-22, 01:28 
Подкину идейку - файлов в архиве может быть много, каждый может предполагать тот или иной уровень вложенности. И то, что ты процитировал, начиналось со слова "например".
Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в unrar, позволяющая перезаписать файлы при распа..."  +/
Сообщение от Аноним (123), 17-Май-22, 04:46 
Вот тебе бабка и юрьевь день. Как же так вышло, что легендарный русский программист на единственно верном языке и такую лажу написал?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру