Přihlášení | Registrace

napište » Zprávičky

Novinky od PINE64 - 08/2025

dnes 04:22 | IT novinky

Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.

Ladislav Hagara | Komentářů: 0

Zig 0.15.1

včera 22:22 | Nová verze

Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Před sedmi lety společnost Valve představila Proton

včera 21:55 | Komunita

Před sedmi lety společnost Valve představila fork projektu Wine s názvem Proton umožňující v Linuxu přímo ze Steamu hrát počítačové hry do té doby běžící pouze ve Windows. Aktuální přehled podporovaných her na stránkách ProtonDB

Ladislav Hagara | Komentářů: 0

Duck.ai rozšířen o GPT-5 mini

včera 14:55 | IT novinky

Společnost DuckDuckGo rozšířila svůj AI chat Duck.ai o GPT-5 mini (𝕏). Duck.ai umožňuje anonymní přístup bez vytváření účtů k několika modelům umělé inteligence. Aktuálně k GPT-4o mini, GPT-5 mini, Llama 4 Scout, Claude Haiku 3.5 a Mistral Small 3.

Ladislav Hagara | Komentářů: 5

DOM-based Extension Clickjacking: Data ve správcích hesel v ohrožení

včera 12:44 | Bezpečnostní upozornění

Marek Tóth v příspěvku DOM-based Extension Clickjacking: Data ve správcích hesel v ohrožení na svém blogu popsal novou clickjacking techniku s několika variantami útoků a otestoval ji proti 11 správcům hesel. Výsledkem bylo nalezení několika 0-day zranitelností, které mohly ovlivnit uložená data desítek milionů uživatelů. Jedno kliknutí kdekoliv na webové stránce kontrolované útočníkem umožňovalo ukrást uživatelská data ze

… více »

Ladislav Hagara | Komentářů: 1

Made by Google 2025: telefony Pixel 10, hodinky Pixel Watch 4 a sluchátka Pixel Buds 2a

20.8. 21:11 | IT novinky

Na dnešní akci Made by Google 2025 (YouTube) byly představeny telefony Pixel 10 s novým čipem Google Tensor G5 a novými AI funkcemi, hodinky Pixel Watch 4 a sluchátka Pixel Buds 2a.

Ladislav Hagara | Komentářů: 25

LibreOffice 25.8

20.8. 14:11 | Nová verze

The Document Foundation oznámila vydání nové major verze 25.8 svobodného kancelářského balíku LibreOffice. Podrobný přehled nových vlastností i s náhledy v poznámkách k vydání (cs) a také na Youtube a PeerTube.

Ladislav Hagara | Komentářů: 16

Zeek 8.0.0

20.8. 04:00 | Nová verze

Zeek (Wikipedie), původně Bro, byl vydán v nové major verzi 8.0.0. Jedná se o open source platformu pro analýzu síťového provozu. Vyzkoušet lze online.

Ladislav Hagara | Komentářů: 0

Emacs na stříhání videa?

19.8. 23:55 | Zajímavý software

Emacs na stříhání videa? Klidně.

Ladislav Hagara | Komentářů: 7

Firefox 142.0

19.8. 15:55 | Nová verze

Byl vydán Mozilla Firefox 142.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 142 je již k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (77%)

Panely (10%)

Záložky (5%)

Listy (3%)

Něco jiného (5%)

Nic (0%)

Celkem 39 hlasů

Komentářů: 6, poslední včera 13:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Štítky: bez, GNU, chyba, Tar

Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Bezpečnostní chyba CVE-2016-6321, přezdívaná POINTYFEATHER, umožňuje útočníkovi vytvořit tar archív, který může při rozbalování vytvořit či přepsat adresáře nebo soubory v adresářích, kam má uživatel přístup, bez ohledu na cestu specifikovanou na příkazové řádce. Lze tak připravit, spíše teoreticky, archív, který pokud je rozbalen pod rootem, umožní útočníkovi ovládnout systém. Podrobnosti, včetně scénáře zneužití, v diskusním listu Full Disclosure.

27.10.2016 23:30 | little.owl | Bezpečnostní upozornění

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (0) ? , Tisk

Vložit další komentář

28.10.2016 00:00 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Odpovědět | Sbalit | Link | Blokovat | Admin

Takže vlastně takovej adresářovej little bobby tables :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

31.10.2016 16:48 koudy
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Dalo mi to dlouho než dorazil vtip z oka do mozku, ale ten smích na celý open space stál za.

Děkuji, vyděšení kolegové moc ne, ale mě jste prodloužil život o dalších pár minut!

28.10.2016 16:39 martin-ux
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Odpovědět | Sbalit | Link | Blokovat | Admin

16.03.2016  contacted secalert@redhat.com for help in coordination
17.03.2016  added end user mitigation via --one-top-level to the 
            advisory
17.03.2016  GNU tar maintainer didn't consider this to be an issue. 
            as a result mitigation in upstream GNU tar appears 
            unlikely

Ma mrzi taky pristup: "GNU tar maintainer didn't consider this to be an issue.". Trvalo 7 mesiacov kym to fixli, to je uz celkom dost :|

28.10.2016 17:58 Cabrón
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Ještě to nefixli, upstream to zatím nezačlenil.

29.10.2016 00:02 Bgfc
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Toto fungovalo v tare velmi dlho a kazdy o tom vedel. Kazdy vedel, ze sa subory z nedoveryhodneho archivu nerozbaluju pod rootom. A potom sa to akoze opravilo a zrazu mame CVE.

29.10.2016 01:59 biolog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Každý věděl? V dokumentaci to není, takže asi musela fungovat nějaká ústní tradice. Každopádně je to praštěné chování - s bezpečnostními důsledky, tedy bezpečnostní chyba.

Selský rozum sice říká, že pod rootem by se mělo provádět minimum věcí, ale od GNU utility by člověk čekal více, tj. že tu situaci zvládne.

BTW: Existuje nějaký příkaz jak spustit příkaz se skoro žádnými právy? Uživatele nobody nepočítám, pod ním běží programy (a mohou si navzájem ubližovat) autorů, kteří si myslí, že program pod účtem nobody nemůže ničemu ublížit.

29.10.2016 02:25 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

qemu-i386

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

29.10.2016 10:59 Cabrón
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Není to 100% neprůstřelný, ale sandbox tohle řeší hlídáním některých volání (fopen a podobně), zápis mimo povolenej adresář nedovolí.

29.10.2016 16:43 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

A nebo radsi tento sandbox.

A former Red Hat freeloader.

29.10.2016 21:52 Cabrón
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Když je k dispozici selinux, tak jednoznačně.

29.10.2016 04:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Minimálně na desktopu je celkem fuk, jestli útočník dostane roota, nebo „jenom“ uživatele. A jak dostat uživatele tímto způsobem? Můžu mu vyrobit .ssh/authorized_keys, .bashrc, .bash_profile, .xinitrc, .desktop soubor v autorunu desktopového prostředí…

29.10.2016 11:08 D.A.Tiger | skóre: 8 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v programu GNU Tar (CVE-2016-6321)

Minimálně na desktopu je celkem fuk, jestli útočník dostane roota, nebo „jenom“ uživatele.

Myslim, ze to neni taky vzdycky uplne pravda ;)

Radost z toho, že někdo objeví něco nového, je omyl starý 6000 let... (Jean Paul) | anthill inside

Založit nové vlákno • Nahoru

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje