Кстати, а какие пакетные и не очень менеджеры сейчас не используют wget? Раньше помню его и сузя в ясте юзала, и мандрива пока жива была, и шапка, и гента. Им же большая часть самообновляемых домороутеров типа длинков/высусов прошивки качали новые. А сейчас как не в курсе?

А редактор в Emacs уже звезли?

Ухудшения памяти, речевых и моторных навыков тоже пока не чувствуешь?

Ты переоцениваешь влияние своей тоскливости на человеческую физиологию.

evil-mode же.[/петросян]

Про ftp я понял. Вопрос был в том, угрожает ли мне что-то, если я себе вгетом ничего не качаю. Судя по всему - нет. Спасибо.

Ухудшения памяти, речевых и моторных навыков тоже пока не чувствуешь?

Ты переоцениваешь влияние своей тоскливости на человеческую физиологию.

Не переоцениваю. Естественно, на твою физиологию влияют многие факторы... значит, не замечаешь ухудшения памяти пока? Судя по этому треду, скоро заметишь.

Не угрожает. wget вообще лучше удалить и забыть про него как про страшный сон. Есть более вменяемые качальщики, например, curl.

Спешите видеть: погромисты физиологов физиологии учат.

Кстати, а какие пакетные и не очень менеджеры сейчас не используют wget?

apt не использует

ШАПИТО

fixed.

Как это чем? Емаксом же!

решето

Не, ну я понимаю популярность этого тега в толксах и пр., но для новости оно... как-то...

Настолько, насколько опасна атака, выполняющая произвольный код.

Я думаю вот как можно эксплуатировать эту уязвимость. Написать какую нибудь программу, например безопасную версию wget или какой нибудь плагин, главное что бы выполнили однострочник с wget. Разместить его исходники на специальном FTP (эксплуатирующим уязвимость). Опубликовать данные о своей разработке на форумах разных дистрибутивов. Ментайнеры скачивают исходники, тыкают их, не важно что они делают. Главное что через уязвимость на компьютер ментанера записывается cron скрипт который отсылает каталог ~/.ssh и историю bash на сервер (так же можно устроить обыск домашнего каталога на наличие других ключей, в том числе для электронной подписи) . После скрипт самоустраняется. Таким образом в течении нескольких дней ты получишь приватные RSA-ключи множества ментайнеров различных дистрибутивов. Далее можно попытаться внести дыры в какие нибудь пакеты и через примерно 2 года можно будет стать крутым хакером с крякером интернета.

2014 год — год решета.

Объявлен год шерета. Количество найденных уязвимостей увеличилось вдвое (а вдвое ли? Heartbleed чего один стоит)

А чего он пользует?

Оффтоп.

Кстати, я вдруг обратил внимание, а куда делся тот альтернативно одаренный, который некоторое время назад надрачивал себе звездочки и метил в модераторы, постя в новостях минорщину и всякий шлак на ЛОР чуть ли не по пачке в день? Даже ник его уже не помню) Все, сдулся что ли?))

нормальные люди пишут /bin/su

Так никто никогда не пишет

Не пишешь — ССЗБ, первый же троян сделает тебе PATH в домашнем каталоге с трояном-su.

Не проверяешь чексумму каждого бинарника перед запуском - ССЗБ. Первый же троян заменит.

wget -r на фтп где-то используется?
Можно-ли детектить wget по UA и перекидывать его на фтп? Качать сайтики рекурсивно очень даже любят.

Уже не сработает - все знают про уязвимость, да и ментейнеры спалят это дело.

Не лучше ли самому стать ментейнером и через 2 года заразить все дистрибутивы убунты\дебиана\арча? Или это очень сложно?

. Уязвимость позволяет злоумышленнику, управляющему FTP сервером создавать произвольные файлы и папки в файловой системе пользователя. Атака позволяет злоумышленнику перезаписать или создать любой файл, в том числе бинарный в файловой системе пользователя который запускает wget. Т.е. можно произвести атаку, выполняющую произвольный код на целевой системе, путем запуска cron, записи в bash_profile или изменения SSH authorized_keys.

То есть, если не качать с левых ftp, то все нормально?

Для этого придуманы подписи в репозиториях.

если не качать с левых ftp

...и обезопаситься от MITM различного рода (в т. ч. dns spoofing).

Объявлен год шерета. Количество найденных уязвимостей увеличилось вдвое (а вдвое ли? Heartbleed чего один стоит)

Для крикунов.

И даже если заплат вовремя не будет, то можно:

1. dev-libs/openssl -tls-heartbeat

2. USE="-gnutls"

3. emerge -C bash && emerge zsh

4. Wget: https://www.linux.org.ru/news/security/11001536?cid=11003716

Ну так у тебя троян заменит бинарник, какие подписи?

Gentoo portage

/usr/share/portage/config/make.globals

# Fetching command (3 tries, passive ftp for firewall compatibility) FETCHCOMMAND=«wget -t 3 -T 60 --passive-ftp -O \»\${DISTDIR}/\${FILE}\" \«\${URI}\»" RESUMECOMMAND=«wget -c -t 3 -T 60 --passive-ftp -O \»\${DISTDIR}/\${FILE}\" \«\${URI}\»"

Но флаг -P запрещен для wget

Бинарники ставятся от рута, через пакетный менеджер. Откуда там троян? Троят может попасть только будучи скачанным пользователем, т.е. с правами пользователя. Следовательно, он попадёт в хомяк и затронет максимум его же (ну или процессов насоздаёт, опять же от пользователя и до первой перезагрузки).

мало что ли дыр для повышения привиллегий? Нет, по уму надо проверять каждую чексумму перед запуском (чексуммы хранить исключительно в тетради - чтобы вирус их не заменил), потом запускать все бинарники исключительно по абсолютному пути (ну и провести аудит всего софта, чтобы он так же их запускал). А то у тебя полумеры какие-то.

мало что ли дыр для повышения привиллегий?

А ты попробуй сделать троян под конкретную версию софта, в котором дыра, да ещё чтобы я его установил до того, как накачу фикс.

Нет, по уму надо проверять каждую чексумму перед запуском (чексуммы хранить исключительно в тетради - чтобы вирус их не заменил), потом запускать все бинарники исключительно по абсолютному пути (ну и провести аудит всего софта, чтобы он так же их запускал).

Не поможет. Если у бинарника есть доступ к руту, то уже не имеет значения, что и как ты запускаешь. Как только он повысил привилегии, система уже заражена и должна быть восстановлена из бэкапов с нуля. Мои полумеры защищают систему от повышения трояном привлегий без использования дыр в софте, и только.

FEATURES=«userfetch»

Теперь Касперыч должен выпустить антивирус Интернета

и сканировать интернетовые ftp на уязвимости wget. В wget надо встроить подключение к бд касперыча и проверять сайт на надежность. А то появится еще одна уязвимость - и касперыч тут как тут. Пока вы там баго пофиксите, а касперыч вас уже защитит. Касперыч и опенсорч - мир - дружба.

sudo с NOPASSWD

это решето само по себе. только /bin/su -, только хардкор

Не так. «Вот лажу я по инету и качаю вгетом, как меня могут атаковать в таком случае?» - это вопрос.

Не лучше ли самому стать ментейнером и через 2 года заразить все дистрибутивы убунты\дебиана\арча? Или это очень сложно?

Не знаю как в Debian, но помню что в ALT Linux team требуется ксерокопия паспорта, а ключ для доступа передаётся при личной встрече с другим ментайнером.

Да гента понятно что качает всем чем только может, и wget в первых рядах

Во многих древних программах была подобная уязвимость. Давно ждал, когда ее найдут в wget.

На очереди rtorrent. Предчувствую, что он очень уязвим.

Сложно сделать такую атаку целенаправленной, или я ошибаюсь? Вот висит у меня вебсервер, вгетом на него ничего не качаю, как меня могут атаковать в таком случае? Этот аспект интересует.

mitm. целенаправленно такую атаку провести гораздо проще и намного результативнее, чем просто фишить имхо. так что если в вашей компании есть ценные данные — берегитесь. достаточно хотя бы приблизительно знать чем пользуется пользователь.

Есть предположение, что похожая проблема может быть (или уже была) в пакете SAMBA при включенных unix extensions и/или игранием с follow symlinks.

а с чего ты взял что он работает через wget?

ну портаж wget'ом по-дефолту пользуется, а не curl'ом или axel'ем.

FETCHCOMMAND/RESUMECOMMAND в make.conf настраивается.

Сурово, после стольких лет развития — такие проблемы. Пожелаем удачи!

если менеджер пакетов твоего дистрибутива скачивает пакеты/исходники ?

1. Он делает это wget-ом ?
2. Он делает это рекурсивно, или таки попакетно ?

silver-orchid-laptop:~ # rpm -qa|grep sudo
texlive-sudokubundle-doc-2013.72.1.0asvn15878-11.2.1.noarch
texlive-sudoku-2013.72.1.0svn15878-11.2.1.noarch
texlive-sudokubundle-2013.72.1.0asvn15878-11.2.1.noarch
texlive-sudoku-doc-2013.72.1.0svn15878-11.2.1.noarch
silver-orchid-laptop:~ #

sudo не нужен.

По теме: это всё печально, да, но, скорее всего, в основных дистрибутивах сегодня-завтра уже будет фикс

Это АНБ старые многолетние уязвимости сливает ненужные...

Кто-то ещё пользуется FTP?

В этом случае проще прямо в сорцы добавить нужные уязвимости.

ШОК!

Штульман остался без / и веб-браузера! Фото! 28x

Кстати, о птичках... Щас попытался обновить список пакетов на одной убунте и мне выдало следующее:

[13:06:04] Reading package lists...
[13:06:13] E: Malformed Description-md5 line; includes invalid character '8116cc2d146631cf9338359e43d388`e'
[13:06:13] E: The package lists or status file could not be parsed or opened.

Хм, что бы это могло быть? Доктор, за мной следит ктобывыдумалИиии? кровавая гэбня?

Зависит от включения/отключения фичи userfetch в make.conf