|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexei Takaseev 2:5071/22 04 Nov 2004 09:58:54
To : Zahar Kiselev
Subject : Re: xterm keys
--------------------------------------------------------------------------------
carbon Zahar Kiselev <Zahar_Kiselev@p1.f382.n5030.z2.fidonet.org> писал(а):
AT>> Вот тут недавно по всяким там багтракам проскочило сообщение про
AT>> возможность изменения содержимого диска атакуемой системы через
AT>> архивный файл специального вида. Проблемными оказались почти ВСЕ
AT>> известные архиваторы, zip в том числе.
ZK> Будь это действительно так - фидошники эту возможность нашли бы лет десять
ZK> назад. Скорее всего требуется какое-то совершенно нереальное сочетание
ZK> условий. Конечно, если позволить архиватору например с подкаталогами архив
ZK> распаковывать - то он может куда угодно файлик положить. Hу так на то
ZK> специальная опция есть. А еще у какого-то из архиваторов (еще в досе) была
ZK> возможность автоматического запуска положенного в архив bat-файла - и чтобы
ZK> ее отключить нужно было задавать специальный ключик.
Как оказалось, фидошники таки прое... просто им не хватило квалификации
найти эту дыру. Бывает. Это вам не пиво на попойках трескать.
AT>> Продолжать, или сами поняли что можно
AT>> сделать с системой, у которой тоссер работает под рутом?
ZK> _Современный_ тоссер (HPT) имеет _встроенный_ код для распаковки zip-архивов
ZK> и внешний архиватор вообще не запускает.
При этом пользуется вызовом внешних либ, конкретно zlib, которая опять
умудрилась отметиться багом. Так что про "встроенность" заливать не
надо. Там еще есть другой щекотливый момент, а насколько корректна
реализация распаковки в этом hpt?
ZK>>> Положить регулярно изменяемый тоссером конфиг куда-нибудь в /etc как
ZK>>> это сделано в
ZK>>> настройках предлагаемых по умолчанию - на мой взгляд еще хуже.
AT>> А не пользуйтесь такими поделками, которые при каждом старте меняют
AT>> конфиг. Просто не пользуйтесь.
ZK> Hе "не пользуйтесь поделками", а не пользуйстесь их настройками по
ZK> умолчанию. У того же HPT изменяемая часть конфига _легко_ перекладывается в
ZK> любое желательное место - для этого все там предусмотрено. Вот только те кто
ZK> распространяет дистрибутив - почему-то этой возможностью не воспользовались
ZK> когда писали пример настроек.
Правило Мёрфи - все, что можно использовать неправильно обязательно будет
использовано неправильно. То есть разработчикам изначально нужно было
думать головой, отделяя изменяемую часть от настроек.
ZK>>> Hе надо преувеличивать исходящую от тоссера опасность если Вы имеете
ZK>>> весьма поверхностное представление о фидошных технологиях(видно по
ZK>>> используемой "терминологии").
AT>> См. самое начало.
ZK> Прежде чем ругать фидошные технологии - рекомендуется ознакомиться с
ZK> _современным_ софтом. А то я так могу и ядро 1.2.13 поставить и начать
ZK> ругать линукс. А когда-то я с этого ядра начинал...
Извините пожалуйста, но что подпадает под понятие "современный фидошный
софт"?
--
Хаб не поинт - пива не принесет.
--- tin/1.5.15-20021115 ("Spiders") (UNIX) (Linux/2.4.20-alt17-up (i686))
* Origin: -=Metamorphosis=- (2:5071/22)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
