The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере Cargo"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от opennews (?), 03-Авг-23, 22:23 
В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлена уязвимость (CVE-2023-38497), вызванная отсутствием учёта значения  umask в процессе извлечения файлов из пакетов на Unix-подобных системах, что приводит к установке для извлечённых файлов исходных прав доступа, указанных в архиве...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59548

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в пакетном менеджере Cargo"  +12 +/
Сообщение от Аноньимъ (ok), 03-Авг-23, 22:26 
Это и уязвимостью то сложно назвать... На каждый баг новости будемс создавать?
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере Cargo"  +7 +/
Сообщение от НяшМяш (ok), 03-Авг-23, 23:06 
Это же про раст. Надо было подкинуть топлива местным кекспертам.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере Cargo"  +2 +/
Сообщение от Dzen Python (ok), 03-Авг-23, 23:15 
А чому нет?
Макать фанатиков НЕВЕРОЯТНОСТНО БИЗАПАШСТНОГО языка всегда прельстиво и любовно
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

38. "Уязвимость в пакетном менеджере Cargo"  +1 +/
Сообщение от Аноним (38), 04-Авг-23, 13:21 
ну так раст и не защищает от оставшихся 30% ошибок, от (обзовём их, как тут любят) "логических" (хотя все ошибки от логики или ее отсутствия). С этим вам когда-нибудь в будущем ChatGPT42 поможет. Главное, чтобы он в процессе исключения ошибок не решил избавиться от элементов системы, постоянно совершающих ошибки по природе своей.
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в пакетном менеджере Cargo"  –2 +/
Сообщение от Anon3 (?), 04-Авг-23, 16:28 
Ну вон эту ошибку можно было сделать и не логической
Но вот могли же в языке сделать для umask-а единственного владельца с контролем его жизни и учетом работы на всей цепочке вызовов данного кода (передача состояния начиная от разработчика, потом по сети до юзера, и наконец до запуска сборщиком), аналогично работе с указателями.
И не сделали
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере Cargo"  +1 +/
Сообщение от Аноним (38), 04-Авг-23, 17:19 
Ты еще скажи, чтобы "в языке" (операторами языка, его системой типов и т.д.) они котиков с ютуба качали и перекодировали в 30 форматов. В языке - нет, не могли. А в отдельной утилите обработать ситуацию - должны были. Потому и ошибка.
Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (54), 07-Авг-23, 20:46 
Забыли учесть umask. Как это зависит от языка, на котором это забыли?

Это скорее бага в дизайне unix - по уму, umask следовало бы учитывать на уровне ОС. А так это просто "рекомендация", которую каждое приложение должно учитывать.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

8. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (8), 03-Авг-23, 23:16 
Сишники  самое главное виноваты.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

16. Скрыто модератором  –1 +/
Сообщение от Аноним (-), 04-Авг-23, 03:29 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере Cargo"  +2 +/
Сообщение от Аноним (3), 03-Авг-23, 22:28 
а че, карго куда-то не в хомяк распаковывает? У /home/$USER обычно 0700, так что $ANOTHER_USER будет кусать локти, а не "изменять код зависимости". и почему в архиве сохраняются пермишоны как есть, а не как в гите? (100755, 100644 и усё, остальные не поддерживается)
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере Cargo"  +3 +/
Сообщение от Anonymous116723333333333 (?), 03-Авг-23, 22:34 
Как в гите на папку target? :^))))))))
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере Cargo"  +1 +/
Сообщение от ИмяХ (?), 03-Авг-23, 23:22 
Раст все равно самый классный язык, пусть в нем и есть дыры. Это прикольно. Раст даже наша порноактриса рекламировала. Вот она зачётная дырка.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере Cargo"  –2 +/
Сообщение от Аноним (18), 04-Авг-23, 05:09 
А вот если бы писали на сишечке, то в комплекте к багу было бы еще несколько выходов за пределы буферов и всякие там use after free и обращения по неинициализированным указателям.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в пакетном менеджере Cargo"  +1 +/
Сообщение от Минона (ok), 04-Авг-23, 09:03 
Я полагаю что её дырка заезженная.
Незачот =)
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере Cargo"  +1 +/
Сообщение от Аноним (37), 04-Авг-23, 13:13 
Давно неустраняемая уязвимость :)
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере Cargo"  +2 +/
Сообщение от Самый Лучший Гусь (?), 03-Авг-23, 23:49 
Это не уязвимость а баг
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от деанон (ok), 04-Авг-23, 12:16 
Прочитай этимологию слова уязвимость
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (49), 05-Авг-23, 19:59 
Прочитай слово "баг". Это несложно, там всего три буквы.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере Cargo"  +2 +/
Сообщение от Аноним (14), 04-Авг-23, 00:32 
a tar разве не так же делает?
Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  +/
Сообщение от Аноним (25), 04-Авг-23, 07:44 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  +/
Сообщение от Аноним (-), 04-Авг-23, 10:49 
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

36. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (36), 04-Авг-23, 12:28 
Для tar есть ключ -p, который надо задавать явно для не суперпользователей.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере Cargo"  –1 +/
Сообщение от An2 (?), 04-Авг-23, 00:52 
> All Rust versions before 1.71.1 on UNIX-like systems (like macOS and Linux) are affected.

Видно, когда MS разрабатывает. И ещё другие из-под винды.

Ответить | Правка | Наверх | Cообщить модератору

19. Скрыто модератором  +/
Сообщение от Аноним (19), 04-Авг-23, 05:49 
Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором  –2 +/
Сообщение от Dzen Python (ok), 04-Авг-23, 06:38 
Ответить | Правка | Наверх | Cообщить модератору

21. Скрыто модератором  +1 +/
Сообщение от Царь бог лучший князь (?), 04-Авг-23, 06:45 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

29. Скрыто модератором  +2 +/
Сообщение от Аноним (29), 04-Авг-23, 09:53 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  +/
Сообщение от Аноним (-), 04-Авг-23, 16:03 
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

27. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от pashev.ru (?), 04-Авг-23, 08:31 
> Если в архиве имеются файлы с правами, разрешающими запись для всех пользователей, то они будут распакованы без очистки данных прав, что позволит любому локальному пользователю изменить код зависимости

Это опеннет или лента.вру?

Для начала «локальный пользователь» должен получить доступ в хомяк.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере Cargo"  –2 +/
Сообщение от Аноним (-), 04-Авг-23, 10:51 
> Это опеннет или лента.вру?
> Для начала «локальный пользователь» должен получить доступ в хомяк.

А в чем проблемы то? На хомяки часто права в духе 755 по дефолту. Ну вот и перезаписать тому лопуху файл заодно, с такими пермишнами.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от pashev.ru (?), 04-Авг-23, 11:35 
> На хомяки часто права в духе 755 по дефолту

Зачем тогда возиться с каким-то Растом? )

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в пакетном менеджере Cargo"  –1 +/
Сообщение от Серб (ok), 04-Авг-23, 13:33 
Что бы выполнить код от имени этого пользователя, очевидно же.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (-), 06-Авг-23, 02:45 
>> На хомяки часто права в духе 755 по дефолту
> Зачем тогда возиться с каким-то Растом? )

1) С правами 755 на хомяк - хомяк пользователя можно браузить.
2) Однао файлы вон того пользователя "почему-то" не перезапишешь, вот так сразу. Если там правов не отсыпят.

А хруст мало того что может, вот, правов на запись левым личностям отсыпать так еще и в том что может быть выполнено потом, очень удобно. Васян пропатчит сорц, юзер соберет, выполнит васянский код ничего не подозревая. И почему бы это не атака - черт бы его знает.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

46. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (46), 04-Авг-23, 17:48 
> На хомяки часто права в духе 755 по дефолту

Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

53. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (-), 06-Авг-23, 02:46 
>> На хомяки часто права в духе 755 по дефолту
> Где именно? В твоих фантазиях или на серверах безруких админов? Конкретнее.

В линуксных дистрах, по дефолту, чудак.

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере Cargo"  –3 +/
Сообщение от Аноним (33), 04-Авг-23, 11:33 
umask - это абсолютное legacy, нарушающее все принципы ООП, о существовании которого я узнал исключительно из этой новости.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Серб (ok), 04-Авг-23, 13:37 
С чего вдруг?

Обычный фильтр.

Хочешь объектоности - сделай интерфейс (обвязку) для манипулирования объектным.

Будет смотреться как обычные фильтры реализованные через объекты, кривовато. Но это нормально.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от Аноним (47), 04-Авг-23, 22:19 
Небольшой наброс на тему ненужности Раста: не нужен, т.к. есть флаги компиляции вида -Warray-bounds.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в пакетном менеджере Cargo"  +/
Сообщение от uis (??), 06-Авг-23, 02:32 
Стабильность так и прёт
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру