Офигеть, не встать.

Feb. 12th, 2007 03:22 pm
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner


В первый раз вижу zero-day эксплойт к приличной операционке, выполняемый одной штатной шелловской командой. Вернее даже добавлением двух букв в стандартную команду.

Подробности (pdf)
via [livejournal.com profile] avva

P.S. IP-адрес я, конечно, затер. Но мог бы и не затирать - он из 10.0.0.0/8
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2007-02-12 03:48 pm (UTC)
From: [identity profile] feldgendler.livejournal.com
В случае, когда login не понимает "--" (это можно проверить в configure), можно просто запрещать имена пользователей, начинающиеся с минуса, так как не существует безопасного способа передать их в login.

Date: 2007-02-12 03:54 pm (UTC)
From: [identity profile] asphyx-lj.livejournal.com
На каком уровне? В случае netkit'а, как раз такая проверка и происходит в самом telnetd (см. выше).

Date: 2007-02-12 03:55 pm (UTC)
From: [identity profile] feldgendler.livejournal.com
Да, на уровне telnetd, конечно.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

June 2025

S M T W T F S
1 23 4 56 7
89 1011121314
15161718192021
22232425262728
2930     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 12th, 2025 08:39 am
Powered by Dreamwidth Studios