История изменений
Исправление
kirk_johnson,
(текущая версия)
:
Потому что это кривой вызов, а не кривое ядро. Ферштейн?
Нет, не ферштейн. Если кривой вызов может сделать hipchat (который, напомню, не требует рутовых прав), значит его может сделать все, что угодно, включая мой скрипт в /tmp. А это значит, что я могу устроить DoS всем серверам, куда у меня есть хотя бы минимальный доступ и возможность исполнять код.
Исходная версия
kirk_johnson,
:
Потому что это кривой вызов, а не кривое ядро. Ферштейн?
Нет, не ферштейн. Если кривой вызов может сделать hipchat (который, напомню, не требует рутовых прав), значит его можно сделать все, что угодно, включая мой скрипт в /tmp. А это значит, что я могу устроить DoS всем серверам, куда у меня есть хотя бы минимальный доступ и возможность исполнять код.