LINUX.ORG.RU
ФорумTalks

В Red Star Linux обнаруженна уязимость

 ,


0

1

https://www.opennet.ru/opennews/art.shtml?num=45619
В Red Star Linux(форк CentOS6 для пользователей из Северной Кореи) обнаружена уязвимость позволяющая выполнить произвольный код открыв специально-подготовленную ссылку в браузере.

В Red Star Linux по умолчанию используется web-браузер naenara 3.5(форк firefox), для вызова внешних обработчиков(mailto:, sip:, magnet:, ...) вызывается утилита/usr/bin/nnrurlshow, которая не проверяет передоваемую ей ссылку и просто запускает ее на выполнение. Таким образом ссылка mailto:`cat /etc/passwd` создает письмо со списком пользователей в заголовке.

Это не первая уязвимость, в прошлый раз неправильно оформленные правила udev позволяли получить права пользователя root.

Deleted

открыв специально-подготовленную ссылку в браузере

Нет интернета → нет браузера → нет уязвимости → Слава мудрому Ким Чен Ыну!

redgremlin ★★★★★ ()

так была же новость, что Кетай отказал от Красной Звезды и давно уже не использует этот дистрибутив... или Красный Флаг?

krang ★★ ()
Ответ на: комментарий от krang

Red Flag, загнулись в 2014 судя по wiki, интересно что у них сейчас.

Deleted ()

Таким образом ссылка mailto:`cat /etc/passwd` создает письмо со списком пользователей в заголовке.

Наглядный пример «безопасности» в зарегулированном мирке с кучей запретов. Я думал такие тупые уязвимости еще в 90-е перестали допускать.

praseodim ★★★★ ()

Так это дюже удобно. Создаём файл, куда скидываем тех редких счастливчиков-обладателей IBM PC в КНДР с их электропочтой и зараз шлём всем агитационную информацию. Уровень пропаганды и одобрения со стороны рабочего народа - 100%, такого даже в Южной Корее нет.

Mamin_simpotyaga ()

naenura

почему гугл по запросу «naenura» «firefox» ничего не находит?

teod0r ★★★★★ ()

открыв специально-подготовленную ссылку в браузере

в браузере

Северная Корея

ну да, ща только интернет надо подключить

upcFrost ★★★★★ ()
Ответ на: комментарий от praseodim

Я думал такие тупые уязвимости еще в 90-е перестали допускать.

уязвимость в imagemagick:
https://www.opennet.ru/opennews/art.shtml?num=44371
а ты думай дальше, только вытряхни сначала пропагандистские опилки из головы

dt1 ★★ ()

Ого, какой по ссылке крутой macOS для бедных. Выглядит даже интереснее, чем Elementary OS для нищуков.

EXL ★★★★★ ()
Ответ на: комментарий от EXL

3.0, 2.0 можешь скачать и поставить себе. там занимательный набор софта:

- Сервисный софт для клиентской версии Red Star
- Офисный пакет "Мы" - аля OpenOffice
- Программа для записи CD/DVD
- Почтовый клиент "Голубь"
- Корейские шахматы
- Программа для работы с факсами
- Антивирус "Дятел"
- Записная книжка "Мой товарищ"
- Еще один офисный пакет аля OpenOffice
- Графический редактор
- Firewall "Пхеньянская крепость"
- Инженерный калькулятор
- Эмулятор среды Windows

Deleted ()
Ответ на: комментарий от dt1

Есть разница, Imagemagick писался чисто для обработки изображений в консоли, можно понять почему ее разработчики не задумались о том к каким эффектам может привести работа на сервере. Но браузер - это изначально сетевая программа.

И между прочим, баг в Imagemagick родом из 90-х.

praseodim ★★★★ ()
Последнее исправление: praseodim (всего исправлений: 2)
Ответ на: комментарий от praseodim

можно понять почему ее разработчики не задумались о том к каким эффектам может привести работа на сервере

об этом не задумались те, кто стал ее использовать на серверах
под тоталитарным идеологическим гнетом находились, не иначе

dt1 ★★ ()
Ответ на: комментарий от Deleted

Молодец, умеешь копипастить, скриншоты будут?

dt1 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.