[security][exploits] Жопорукие быдлокодеры

0

2

https://bugs.launchpad.net/calibre/ bug/885027

Для Ъ: он доказывает, что дыра — это не дыра, а фича. Дыра (а вернее, дыры) — в суидном бинарнике, который ставит эта сраная Calibre чтобы поиметь возможность что-то там монтировать. В итоге кто угодно может монтировать (и отмонтировать) что угодно, создавать папки от рута, запускать от рута что угодно.

Just so this is perfectly clear: what's happening in this bug report right now is a perfect example of how *not* to do security response. When faced with two people who clearly know a few things about secure coding, rather than taking their advice and actually fixing the root cause of the problem (or abandon it as a hopeless situation, which is probably the more appropriate response), you've chosen to waste our time by demanding that we write weaponized exploits to exploit what most people already know to be exploitable. To top it off, when shown repeatedly how your half-baked «fixes» don't actually fix anything, rather than taking our advice you just add another small hurdle that can be trivially bypassed. It would be sad if it weren't so funny.

Ссылка

←	Венера - Русская планета?

[ищу софт][Gtk] Записная книжка с Task/ToDo

→

← 1 2 →

Ответ на: комментарий от ChALkeR 05.11.11 15:06:50 MSK

В твоей теории наверное и коровы могут летать

vasily_pupkin ★★★★★
(05.11.11 18:57:32 MSK)

Ответ на: комментарий от vasily_pupkin 05.11.11 18:57:32 MSK

Коровы летать не умеют. Коровы в теории сами летать не могут, даже если бы очень захотели.

Другой пример: ты думать умеешь, но не хочешь. Ты в теории думать можешь.

Разницу видишь?

Вот и скрипты в теории могут быть суидными. Но никто в трезвом виде этого не захочет, поэтому это отключено. Разница ровно в одну строчку в ядре, могу даже показать, в какую.

ChALkeR ★★★★★
(05.11.11 19:18:45 MSK) автор топика