|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Alexei Takaseev 2:5071/22.1 04 Nov 2004 22:35:38
To : Zahar Kiselev
Subject : Re: xterm keys
--------------------------------------------------------------------------------
carbon Zahar Kiselev <Zahar_Kiselev@p1.f382.n5030.z2.fidonet.org> писал(а):
AT>>>> Вот тут недавно по всяким там багтракам проскочило сообщение про
AT>>>> возможность изменения содержимого диска атакуемой системы через
AT>>>> архивный файл специального вида. Проблемными оказались почти ВСЕ
AT>>>> известные архиваторы, zip в том числе.
ZK>>> Будь это действительно так - фидошники эту возможность нашли бы лет
ZK>>> десять назад. Скорее всего требуется какое-то совершенно нереальное
ZK>>> сочетание условий.
AT>> Как оказалось, фидошники таки прое... просто им не хватило
AT>> квалификации найти эту дыру. Бывает. Это вам не пиво на попойках
AT>> трескать.
ZK> В те времена в фидо было очень много высококвалифицированных программистов
ZK> (большинство которых ныне уже уехали из этой страны и соответственно исчезли
ZK> из россиского фидо). Так что если бы дырка _реально_ позволяла куда-то
ZK> влезть - ее бы использовали. Скорее же всего это одна из многочисленных
ZK> чисто теоретических уязвимостей.
Потенциальную возможность эксплойта определили через аудит кода
многострадальной zlib, если не ошибаюсь. Эту бедную либу, благодаря ее
лицензии только ленивый тузик не поимел в своих продуктах. Уже после
этого начали примерять на остальных архиватарах и...
AT>>>> Продолжать, или сами поняли что можно
AT>>>> сделать с системой, у которой тоссер работает под рутом?
ZK>>> _Современный_ тоссер (HPT) имеет _встроенный_ код для распаковки
ZK>>> zip-архивов и внешний архиватор вообще не запускает.
AT>> При этом пользуется вызовом внешних либ, конкретно zlib,
ZK> Hа линуксовой машине у меня предидушая версия, она встроенной распаковки еще
ZK> не имеет, однако недавно помогал приятелю настраивать виндовый вариант HPT -
ZK> там никакой zlib я наблюдалось. Код распаковки именно встроенный.
Hу если бы виндовый бинарник HPT таскал за собой libz.so я бы весьма удивился.
Все-таки посмотрите внутрь этой поделки, прежде чем ее защищать.
AT>> Так что про "встроенность" заливать не надо.
ZK> Однако она имеет место.
Только в вашем воображении.
AT>> Там еще есть другой щекотливый момент, а насколько корректна
AT>> реализация распаковки в этом hpt?
ZK> Судя по тому, что его еще никто не взломал - реализация по всей видимости
ZK> достаточно корректна для данного использования. Может конечно она и не
ZK> идеальна, но ее достаточно например для того, чтобы фидо можно было читать
ZK> не тратя половину времени на разгребание куч спама. Hа интернетный почтовый
ZK> ящик мне каждый день приходит по полсотни мусорных писем, на фидошный - ни
ZK> одного.
То, что до сих пор история знает мало случаев взлома нод можно отнести к
двум главным причинам: а) эхотажным - коректное распределение прав;
б) "проблема Hеуловимого Джо" (ты должен будешь кого-то ооооочень сильно
достать, чтобы этот кто-то целенаправленно будет заливать тебе гадость
директом)
ZK>>> У того же HPT изменяемая часть конфига _легко_ перекладывается в
ZK>>> любое желательное место -
ZK>>> для этого все там предусмотрено. Вот только те кто распространяет
ZK>>> дистрибутив - почему-то
ZK>>> этой возможностью не воспользовались когда писали пример настроек.
AT>> Правило Мёрфи - все, что можно использовать неправильно обязательно
AT>> будет использовано неправильно. То есть разработчикам изначально нужно
AT>> было думать головой, отделяя изменяемую часть от настроек.
ZK> Как раз именно разработчики все что нужно и предусмотрели. А вот те кто
ZK> собирал дистрибутив и писал пример настроек - почему-то предусмотренными
ZK> средствами не воспользовались.
Разработчики не предусмотрели блокировку от неправильного
использования - объединили areas.bbs с конфигом. Уж извините пожалуйста,
но include они в своем поделии прикрутили только в районе версии 1.
ZK>>> Прежде чем ругать фидошные технологии - рекомендуется ознакомиться с
ZK>>> _современным_ софтом.
AT>> Извините пожалуйста, но что подпадает под понятие "современный
AT>> фидошный софт"?
ZK> Hу как обычно - версии, вышедшие в последние пару лет. Hе стоит думать что
ZK> фидошный софт не развивается. Хотя конечно по сравнению с анонсами от
ZK> микрософта - выход его новых версий несколько менее заметен. Однако сейчас
ZK> есть вполне приличные программы и под линукс и под винды. В линуксе
ZK> - мэйлеры binkleyforce и qico, тоссер HPT, редакторы msged и современный
ZK> вариант GoldEd. В
А современный утиль к hpt умеет пурджить разные базы? Hа HPT за когда-то
забил именно потому, что хотел иметь на машине несколько баз при одном
комплекте бинарников и нескольких комплектов конфигов. Тогда почти все
утилиты криво-косо но таки смогли заработать от разных конфигов, а вот
пурджилка - нет. Про golded заливать не надо. Что родной одиновский, кто
golded+ все работали с curses из рук вон плохо.
--- tin/1.7.5-20040615 ("Gighay") (UNIX) (Linux/2.4.27-std-up-alt1 (i686))
* Origin: -=Metamorphosis=- (2:5071/22.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
