LINUX.ORG.RU
ФорумTalks

В Red Star Linux обнаруженна уязимость

 red star linux,


0

1

https://www.opennet.ru/opennews/art.shtml?num=45619
В Red Star Linux(форк CentOS6 для пользователей из Северной Кореи) обнаружена уязвимость позволяющая выполнить произвольный код открыв специально-подготовленную ссылку в браузере.

В Red Star Linux по умолчанию используется web-браузер naenara 3.5(форк firefox), для вызова внешних обработчиков(mailto:, sip:, magnet:, ...) вызывается утилита/usr/bin/nnrurlshow, которая не проверяет передоваемую ей ссылку и просто запускает ее на выполнение. Таким образом ссылка mailto:`cat /etc/passwd` создает письмо со списком пользователей в заголовке.

Это не первая уязвимость, в прошлый раз неправильно оформленные правила udev позволяли получить права пользователя root.

Deleted

Последнее исправление: log4tmp (всего исправлений: 3)

открыв специально-подготовленную ссылку в браузере

Нет интернета → нет браузера → нет уязвимости → Слава мудрому Ким Чен Ыну!

redgremlin ★★★★★
()

так была же новость, что Кетай отказал от Красной Звезды и давно уже не использует этот дистрибутив... или Красный Флаг?

krang ★★
()

А кто бы мог подумать.

Bfgeshka ★★★★★
()

Таким образом ссылка mailto:`cat /etc/passwd` создает письмо со списком пользователей в заголовке.

Наглядный пример «безопасности» в зарегулированном мирке с кучей запретов. Я думал такие тупые уязвимости еще в 90-е перестали допускать.

praseodim ★★★★★
()

Так это дюже удобно. Создаём файл, куда скидываем тех редких счастливчиков-обладателей IBM PC в КНДР с их электропочтой и зараз шлём всем агитационную информацию. Уровень пропаганды и одобрения со стороны рабочего народа - 100%, такого даже в Южной Корее нет.

Mamin_simpotyaga
()

Все, сношу и ухожу на убунту, все...

Venediktov
()

открыв специально-подготовленную ссылку в браузере

в браузере

Северная Корея

ну да, ща только интернет надо подключить

upcFrost ★★★★★
()

Ого, какой по ссылке крутой macOS для бедных. Выглядит даже интереснее, чем Elementary OS для нищуков.

EXL ★★★★★
()
Ответ на: комментарий от EXL

3.0, 2.0 можешь скачать и поставить себе. там занимательный набор софта: 

- Сервисный софт для клиентской версии Red Star
- Офисный пакет "Мы" - аля OpenOffice
- Программа для записи CD/DVD
- Почтовый клиент "Голубь"
- Корейские шахматы
- Программа для работы с факсами
- Антивирус "Дятел"
- Записная книжка "Мой товарищ"
- Еще один офисный пакет аля OpenOffice
- Графический редактор
- Firewall "Пхеньянская крепость"
- Инженерный калькулятор
- Эмулятор среды Windows

Deleted
()
Ответ на: комментарий от dt1

Есть разница, Imagemagick писался чисто для обработки изображений в консоли, можно понять почему ее разработчики не задумались о том к каким эффектам может привести работа на сервере. Но браузер - это изначально сетевая программа.

И между прочим, баг в Imagemagick родом из 90-х.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 2)
Ответ на: комментарий от praseodim

можно понять почему ее разработчики не задумались о том к каким эффектам может привести работа на сервере

об этом не задумались те, кто стал ее использовать на серверах
под тоталитарным идеологическим гнетом находились, не иначе

dt1 ★★
()
Ответ на: комментарий от Deleted

Молодец, умеешь копипастить, скриншоты будут?

dt1 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks