15:12
24/11/2014

* Dziura w linuksowym “less”

Interesujący e-mail od Michała.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

5 komentarzy

Dodaj komentarz
  1. Less is More.

  2. Ale to raczej nie błąd w less, tylko niefrasobliwość w konfigurowaniu dodatkowych narzędzi, czy coś przeoczyłem?

    • Przeoczyłeś, że less ma znacznie wiecej funkcji/parametrów przez co probuje robic znacznie wiecej niż more. Ilość funkcji i narzędzi do których się odwołuje/z których korzysta, sprawia, że fuzzing ma dużą powierzchnię do przeszukania i znacznie większe szanse, że coś znajdzie (vide man less vs man more). Tak tez zrobił Michal.

      Swoją drogą widzialem też ostatnio sposób na wywalenie inita przez wielokrotny `touch` (rachelbythebay (.) com/w/2014/11/24/touch/)

  3. Jeszcze raz: Jaki błąd mamy w _less_ ? Nie w _programie/ach_wywołanych_przez_less_ tylko w samym _less_?

  4. Analizowanie nieznanych danych za pomocą czegokolwiek z niewyizolowanym środowisku (np. w czymś innym niż dobrze zsandboxowana i wytestowana przeglądarka internetowa) to zawsze ryzyko.

    Michal twierdzi, że powinien istnieć zestaw programów, które bez dodatkowych “mitigations” powinny być safe-to-use. Problem w tym, że nawet ‘cat’ może spowodoać problemy, ponieważ może wypisać na konsolę sekwencje ANSI, które mogą wyeksplojtować taką konsolę – mało kto patrzy w kod konsol/terminali.

    Sam fakt, że da się potencjalnie wyeksplojtować less/unzip/readelf itp. był znany ludziom, którzy się zajmują security – i nie było to przedmiotem szczególnym przedmiotem dyskusji – po prostu uważano, że się da (bo autorzy średnio dbają o jakość kodu), i nie należy używać unzip i friends na niezaufanych danych, lub bez dodatkowego sandboxowania. Michał stara się zmienić takie status quo, twierdząc, że możemy doprowadzić do sytuacji, w której to będzie możliwe (poprzez audyt i testowanie/fuzowanie). Ale czy my mamy do tego środki (czas “ekspertów” i chęci)?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.